Sut mae paratoi i ymdrin â chwynion diogelu data?
-
This guidance explains what you need to do to meet the new requirements for you to have a data protection complaints process, as set out in the Data (Use and Access) Act. Although these requirements are not in force until 19 June 2026, we think it is useful for this to be published now so that you are ready for these changes. Even before these requirements are in force, we think that what’s set out in this guidance represents good practice.
Sut mae paratoi i ymdrin â chwynion diogelu data?
Paratowch ar gyfer sut y byddwch chi’n cael ac yn gwirio cwynion
Rhowch ffordd i bobl gwyno ichi
Mae’n rhaid ichi roi ffordd i bobl wneud cwynion ynghylch diogelu data yn uniongyrchol i chi. Mater i chi yw sut rydych chi’n gwneud hyn, ond fe allech chi gymryd un o’r camau canlynol:
- darparu ffurflen gwyno y gall pobl ei chyflwyno ichi naill ai'n electronig neu mewn ysgrifen (e.e. drwy’r ebost neu drwy'r post);
- darparu cyfeiriad ebost i bobl gyflwyno cwynion iddo;
- caniatáu i bobl wneud cwyn dros y ffôn;
- darparu porth cwynion ar-lein;
- cynnig swyddogaeth sgwrsio byw gyda’r opsiwn o uwchgyfeirio at berson os oes angen; neu
- rhoi ffordd i bobl wneud cwynion ichi yn bersonol (e.e. os nad oes gennych bresenoldeb ar-lein).
Nid yw’n ofynnol ichi sefydlu offeryn ar wahân ar gyfer cwynion, cyn belled â’ch bod yn dal i fodloni eich rhwymedigaethau. Efallai bod gennych offeryn cwyno eisoes nad yw’n benodol i ddiogelu data, ond y gallwch ei addasu er mwyn cynnwys cwynion diogelu data.
P’un a fyddwch chi’n sefydlu offeryn newydd neu’n addasu un sy’n bodoli eisoes, mae cael proses ar gyfer delio â chwynion diogelu data yn eich helpu i fod yn atebol a gall wella’r ddeialog rhyngoch chi a’r bobl sy’n dymuno gwneud cwyn. Gall helpu i adeiladu ymddiriedaeth ynghylch sut y byddwch chi’n trin eu gwybodaeth ac arwain at lai o gwynion amdanoch chi i ni.
Er eich bod chi’n cael gwahodd pobl i ddefnyddio’ch proses osod, does dim rhwymedigaeth arnyn nhw i wneud hyn. Caiff pobl gwyno mewn unrhyw ffordd y maen nhw’n ei dewis, gan gynnwys trwy sianeli eraill. Er enghraifft, maen nhw’n cael cysylltu ag unrhyw un o’ch gweithwyr, neu unrhyw ran o’ch sefydliad.
Sut bynnag y byddwch chi’n cael cwyn, mae’n rhaid ichi ei derbyn.
Ystyriwch sut y byddwch chi’n ymdrin â chwynion trwy’r cyfryngau cymdeithasol
Mae pobl yn cael gwneud cwyn trwy’r cyfryngau cymdeithasol os oes gennych chi bresenoldeb ar-lein. Fe ddylech chi:
- sicrhau eich bod yn ystyried sut y byddwch chi’n ymdrin â’r cwynion yma;
- defnyddio dull synhwyrol o adnabod cwynion rydych chi’n eu cael trwy’r cyfryngau cymdeithasol; ac
- ystyried a yw rhywun yn bwriadu gwneud cwyn ac yn disgwyl ichi ymateb.
Yn gyffredinol, dyw ymateb ar y cyfryngau cymdeithasol ddim yn ffordd ddiogel o ddarparu gwybodaeth. Fe ddylech chi ofyn am ddull cysylltu amgen yn lle hynny.
Ystyriwch sut y byddwch chi’n ymdrin â chwynion gan blant
Mae gan blant yr un hawliau ag oedolion dros eu gwybodaeth bersonol. Er hynny, mae plant yn haeddu amddiffyniad penodol gan y gallan nhw fod yn llai ymwybodol:
- o risgiau a chanlyniadau’r prosesu; ac
- o’u hawliau pan fyddwch chi’n prosesu eu gwybodaeth bersonol.
Os cewch chi gwynion gan blant, dylech ymateb mewn iaith glir y gallan nhw ei deall. Dylech ystyried hyn ym mhob cam o’r broses gwyno, ochr yn ochr â’ch rhwymedigaethau i ystyried diogelu data trwy ddylunio.
You must assess the competence of the child to understand and exercise their rights. In most cases, if you’ve already recently assessed the child’s competence as part of an initial information rights request, you won’t need to do this again. (For more information, see the section When may a child exercise their rights? in our children and the UK GDPR guidance).
Os yw’ch sefydliad yn dod o fewn rhychwant y cod dylunio oed-briodol, dylech sicrhau eich bod yn gyfarwydd â’r gofynion ynghylch ymdrin â chwynion gan blant yn safon 15 o’n cod.
Mae hyn yn golygu y dylech chi::
- darparu mecanweithiau i helpu plant i arfer eu hawliau neu wneud cwynion;
- cael mecanweithiau i blant nodi eu bod yn credu bod eu cwyn neu eu cais yn un brys a pham;
- mynd ati i ystyried unrhyw wybodaeth y maen nhw’n ei darparu am hyn a rhoi blaenoriaeth iddyn nhw yn unol â hynny; a
- rhoi gweithdrefnau ar waith i gymryd camau cyflym lle maen nhw’n rhoi gwybodaeth sy'n nodi bod yna fater diogelu parhaus.
Rhagor o ddeunydd darllen
- What rights do children have?
- When may a child exercise their rights?
- Children and the UK GDPR
- Standard 15: Online tools - Age appropriate design code
- What services are covered by this code – Age appropriate design code
- Why do children merit specific protection? – Recital 38: Children and the UK GDPR
- Diogelu data trwy o’r cychwyn ac fel anghenraid
Dywedwch wrth bobl eu bod nhw’n cael cwyno
Mae’n rhaid ichi ddweud wrth bobl eu bod nhw’n cael cwyno i chi, yn ogystal ag i ni:
- ar y pwynt lle rydych chi’n casglu eu gwybodaeth bersonol (e.e. trwy ddangos hyn yn eich hysbysiad preifatrwydd). Rhaid ichi ddefnyddio iaith glir a phlaen, yn enwedig os ydych chi’n annerch plentyn; ac
- wrth ichi ymateb i gais testun am weld gwybodaeth.
Os ydych chi’n prosesu gwybodaeth at ddibenion gorfodi’r gyfraith, mae yna wahanol bwyntiau pan mae’n rhaid ichi ddweud wrth bobl eu bod nhw’n cael cwyno, oni bai bod cyfyngiad yn gymwys:
- fel rhan o’ch dyletswydd gyffredinol i hysbysu pobl am eu hawl i gwyno (e.e. trwy ddangos hyn yn eich hysbysiad preifatrwydd);
- wrth gyfyngu’r wybodaeth rydych chi’n ei darparu i bobl mewn cysylltiad â’u hawl i gael eu hysbysu;
- wrth ymateb i gais testun am weld gwybodaeth (SAR);
- wrth wrthod cais am gywiro, dileu neu gyfyngu gwybodaeth; ac
- wrth gadw gwybodaeth yn ôl mewn ymateb i SAR, neu’r hawl i gael eich hysbysu, sy’n cael ei warchod gan fraint broffesiynol gyfreithiol.
Darpariaethau perthnasol yn GDPR y DU/y Ddeddf Diogelu Data
Ystyriwch ysgrifennu gweithdrefn gwyno
Os nad oes un gennych yn barod, fe allech chi hefyd ysgrifennu gweithdrefn gwyno. Mae gweithdrefn ysgrifenedig yn ei gwneud hi’n hawdd i bobl wybod sut i wneud cwynion i chi yn uniongyrchol. Mae hyn yn eich helpu i gyflawni’ch rhwymedigaeth i roi ffordd i bobl gwyno, a gall arwain at lai o gwynion amdanoch i ni.
Gallech gyhoeddi hyn ar eich gwefan neu ei darparu i bobl ar y cyfle cyntaf.
Gallech gynnwys gwybodaeth am sut y gall pobl wneud cwynion diogelu data i chi a’r hyn y gallan nhw ei ddisgwyl o’ch proses. Er enghraifft:
- y dull rydych chi wedi’i osod ar gyfer cymryd cwynion. (Cofiwch: mae pobl yn cael cyflwyno cwynion drwy ddefnyddio gwahanol ddulliau.);
- pa dystiolaeth neu wybodaeth ategol sydd ei hangen arnoch i ymchwilio i gwynion;
- pa brawf ID rydych chi’n ei dderbyn;
- pa fath o brawf awdurdod rydych chi’n ei dderbyn, os yw pobl yn cwyno ar ran eraill; a hefyd
- eich bod chi’n cydnabod cwynion o fewn 30 diwrnod, yn rhoi gwybod i bobl am y cynnydd, ac yn esbonio’r canlyniad.
Efallai eich bod eisoes wedi cyhoeddi gwybodaeth ar sut i gwyno am faterion eraill. Fe allech chi addasu gweithdrefnau ysgrifenedig presennol, fel eich hysbysiad preifatrwydd, i gynnwys gwybodaeth am sut y gall pobl wneud cwynion diogelu data.
Dylech ddefnyddio iaith glir ac esbonio unrhyw jargon neu dermau cyfreithiol.
Efallai y byddwch chi hefyd yn ysgrifennu gweithdrefnau mewnol ar gyfer staff, ond does dim disgwyl ichi gyhoeddi’r rhain yn allanol. Efallai yr hoffech gynnwys sut y byddwch chi’n rheoli cwynion sy’n dod i law trwy sianeli eraill.
Cadarnhau pwy yw’r achwynydd
Os oes gennych unrhyw amheuon ynglŷn â phwy yw’r achwynydd, gall fod angen ichi ofyn iddyn nhw roi prawf ID cyn ichi ymateb. Dylech sicrhau eich bod yn gofyn amdano cyn gynted â phosibl. Os oes gennych ddigon o wybodaeth i fod yn fodlon pwy yw’r ceisydd, rhaid ichi beidio â gofyn am ragor o wybodaeth.
Rhagor o ddeunydd darllen
Gwirio awdurdod pobl sy’n gwneud cwynion ar ran eraill
Gall rhywun wneud cwyn ar ran person arall (e.e. aelod o’r teulu, cyfreithiwr, gwasanaeth eiriolaeth plant, neu sefydliad nid-er-elw perthnasol arall). Os felly, mae’n rhaid ichi wirio eu bod nhw wedi’u hawdurdodi i weithredu ar ran y person arall. Mae’r math o dystiolaeth y gall fod arnoch ei hangen yn dibynnu ar yr amgylchiadau, ond dyma rai enghreifftiau:
- atwrneiaeth briodol; neu
- lythyr awdurdod wedi’i lofnodi gan y person y maen nhw’n gweithredu ar eu rhan.
Efallai bod gennych weithdrefnau digonol eisoes i wirio awdurdod trydydd partïon (e.e. ar gyfer ceisiadau am hawliau gwybodaeth). Mae’n debygol y gallwch ddefnyddio’r un gwiriadau wrth ymdrin â chwynion diogelu data a gyflwynir ar ran pobl eraill.
Os nad ydych chi’n siŵr a yw llythyr awdurdod yn ddilys, fe allech chi ystyried cysylltu â’r achwynydd ynglŷn â’ch pryderon.
Os nad oes gennych unrhyw dystiolaeth bod trydydd parti wedi’i awdurdodi i weithredu ar ran rhywun, rhaid ichi beidio ag ymchwilio i’r gŵyn nes i chi gael yr awdurdod priodol.
Ystyried a oes fframweithiau a rhwymedigaethau cyfreithiol eraill i gydymffurfio â nhw
Mae’r canllawiau yma yn ymwneud â’r gyfraith diogelu data. Mae yna fframweithiau a rhwymedigaethau cyfreithiol eraill y gall fod rhaid ichi eu hystyried wrth ymdrin â chwynion, megis y ddeddfwriaeth cydraddoldeb a gwahaniaethu.
Efallai bod gennych brosesau, canllawiau neu fframweithiau presennol sy’n nodi sut rydych chi’n ymdrin â chwynion yn effeithiol. Gall y rhain gynnwys amserlenni penodol a rheolau eraill neu gyngor arall. Does dim rhwymedigaeth i lunio proses ar wahân neu broses annibynnol ar gyfer cwynion diogelu data. Cewch integreiddio cwynion diogelu data yn eich prosesau presennol, cyn belled â’ch bod yn gallu parhau i fodloni’ch rhwymedigaethau diogelu data. Mae hyn yn cynnwys eich rhwymedigaeth i ymchwilio a darparu canlyniad heb ‘oedi amhriodol’.
Efallai y bydd achosion lle rydych chi’n ymateb i gŵyn diogelu data fel rhan o gŵyn ehangach am faterion eraill. Os gallwch ddarparu canlyniad i’r gŵyn diogelu data yn gynt nag y gallwch ddarparu canlyniad i’r materion eraill, mae’n rhaid ichi wneud hynny. Gallai aros i ddelio â’r holl faterion yr un pryd heb gyfiawnhad achosi oedi amhriodol.
Gwirio bod eich system cadw cofnodion yn addas i'r diben
Fe ddylech chi fod â system ar gyfer cadw’ch cofnodion yn gyfredol, wedi’u trefnu’n glir ac wedi’u labelu. Bydd hyn yn eich helpu i ddod o hyd i’r holl wybodaeth sydd ei hangen arnoch yn gyflym ac yn effeithiol.
Hyfforddi’ch staff ynglŷn â chwynion diogelu data
Mater i chi yw penderfynu pwy sydd yn y sefyllfa orau yn eich sefydliad i ymdrin â chwynion diogelu data.
Dylech sicrhau bod yr holl staff yn gallu adnabod cwyn diogelu data a’u bod yn gwybod beth i’w wneud os bydd un yn dod i law. Mae hyn yn cynnwys gwybod ble i gyfeirio’r gŵyn o fewn eich sefydliad. Dylech gynnwys gwybodaeth am ymdrin â chwynion diogelu data mewn unrhyw hyfforddiant diogelu data mewnol rydych chi’n ei roi i’ch staff.
Bodloni’ch rhwymedigaethau fel cyd-reolwyr a phroseswyr
Os ydych chi’n gyd-reolwr, fe ddylech chi fod â threfniant tryloyw gyda’r cyd-reolwr arall i nodi sut y byddwch chi’n ymdrin â chwynion. Mae’r amserlen yn dechrau cyn gynted ag y daw cwyn i law unrhyw un o’r rheolwyr, felly mae’n bwysig bod pawb yn glir ar yr hyn sydd angen iddyn nhw ei wneud. Bydd angen ichi ystyried pethau fel:
- a ddylech chi gael pwynt cysylltu canolog i bobl gyflwyno cwynion;
- sut i ddweud wrth bobl ble i gyflwyno cwynion
- pwy sy’n gyfrifol am gydlynu’r ymchwiliad; a
- phwy sy’n gyfrifol am gysylltu â’r achwynydd.
Os oes angen ichi rannu gwybodaeth gyda rheolwr neu gyd-reolwr arall i ymchwilio i gŵyn, dylech gymryd i ystyriaeth y cod ymarfer ar rannu data.
Rheolwyr sy’n gyfrifol am gydymffurfio â’r rhwymedigaethau cwyno. Os ydych chi’n defnyddio proseswyr, dylech gael cytundeb ar waith ynghylch sut rydych chi’n ymdrin â chwynion, p’un a ydyn nhw’n cael eu hanfon atoch chi neu’r prosesydd. Dylai'rprosesydd:
- eich helpu i gyflawni’ch rhwymedigaethau i ymchwilio;
- anfon cwynion atoch; a
- chaniatáu ichi gael yr wybodaeth angenrheidiol ganddyn nhw i ymdrin â chwyn.
Fe allai’r prosesydd helpu gyda gweinyddu cwynion, ond mae’r rhwymedigaeth i ymdrin â’r gŵyn yn dal yn eich dwylo chi fel y rheolwr.
Rhagor o ddeunydd darllen