Oes angen i fi adrodd tor?

Os dydych chi ddim yn siwr os yw'ch sefydliad yn angen rhoi gwybod ynghylch tor i'r ICO, defnyddiwch ein hunan-asesiad neu darllen ein enghreifftiau.  

Mae gennyn nisimple guide about how to respond to a breach in the first 72 hourshelpu cwmnïau bach ac unig fasnachwyr.

Mae hefyd gennyn nicanllaw manwl ar sut i reoli tor, gan gynnwys asesiadau risg a hysbysu unigolion.

Sut ydw i'n adrodd ynghylch tor?

Gallwch rhoi gwybod am dor ar-lein. Dylai'r ffurflen cymryd tua 30 munud i lenwi mewn. Gwnewch yn siwr fod gennych chi'r manylion i gyd ynghylch y tor cyn i chi dechrau - ni allwch arbed ac yna dychwelyd i'r ffurflen.

Neu llenwch einFfurflen i'w lawrlwytho i roi gwybod am dor. 

Pa gwybodaeth fe fyddwn i angen darparu

Byddwn yn gofyn cwestiynau i chi ynghylch:

• beth sydd wedi digwydd;
• pan a sut oeddech yn ffeindio allan am y tor;
• y pobl oedd yn cael eu effeithio gan y tor;
• beth chi'n gwneud fel canlyniad o'r tor; a
• pwy dylen ni cysylltu gyda os rydyn ni'n angen mwy o wybodaeth a phwy arall yr ydych chi wedi dweud i.

Dylechchisicrhau bod yr wybodaeth a ddarperir yn gywir ac yn rhoi cymaint o fanylion â phosibl inni. Byddwn yn anfon copi atoch o'r wybodaeth rydych chi'n ei rhoi inni.

Beth sy'n digwydd pan fyddwn yn rhoi gwybod am doriad i'r ICO?

Rydyn ni’n cydnabod y gall dealltwriaeth fanwl o'r hyn ddigwyddodd gymryd amser, Er hynny, mae'n bwysig ein bod yn cael disgrifiad ffeithiol gywir cyn gynted â phosibl.

Rydyn ni’n deall efallai na fydd yn bosibl i chi roi darlun llawn a chyflawn o'r hyn sydd wedi digwydd o fewn y gofyniad adrodd o 72 awr, yn enwedig os yw'r tor yn gymhleth ac o bosibl yn parhau. Er hynny, mae'n ofynnol yn gyfreithiol ichi gadw at yr amserlen yma a'0h bodchiyn rhoi unrhyw wybodaeth berthnasol sydd gennych inni yn y cyfnod yma. Gallwch roi unrhyw fanylion ychwanegol inni wedyn, cyn belled â'ch bod yn gwneud hyn heb oedi gormodol.

Yn dilyn tor, rydych chichibob amser yn myfyrio ac yn ystyried unrhyw wersi a ddysgwyd. Yn benodol, ydy’ch proses asesu risg yn ddigon cynhwysfawr, yn ogystal â pha mor effeithiol yw eich dulliau lliniaru a'ch rheolaethau.

Sut rydyn ni'n gweithio gyda'r ICO?

Pan fyddwch wedi cael tor data personol, rydych chi'n angenasesu'r risg debygol i hawliau a rhyddidau pobl.

Os yw risg yn debygol, rydych chi'nangenrhoi gwybod inni, cyn gynted â phosibl, a lle bo hynny'n bosibl o fewn 72 awr. Mae bod yn agored a thryloyw gyda ni yn gynnar yn ein galluogi i ddelio â'r tor yn effeithlon ac yn sicrhau y gallwn eich helpu i ddiogelu gwybodaeth bersonol.

Os yw'r risg i bobl yn uchel, rydych chiangenhefyd yn rhoi gwybod i'r bobl hynny heb oedi diangen.

Ein rôl ni yw cynnal hawliau gwybodaeth a helpu i ddiogelu gwybodaeth bersonol pobl. Trwy weithio gyda sefydliadau i gydymffurfio â'r gyfraith a darparu cymorth priodol pan fydd toriadau'n digwydd, gallwn helpu i sicrhau bod sefydliadau'n gwneud pethau'n gywir yn y dyfodol.

Beth sy'n nesaf?

Wrth roi gwybod am dor, rydych chi'nchirhoi cymaint o fanylion â phosibl a hynny mor gywir ag y gallwch, hyd yn oed os yw'r wybodaeth yn debygol o newid.

Byddwn yn defnyddio'r wybodaeth rydych chi'n ei rhoi er mwyn:

• penderfynu beth ddylai ddigwydd nesaf;
• deall achos unrhyw dor yn well;
• deall y dulliau lliniaru oedd gennych ar waith; a
• deall y methiant neu'r diffyg posibl mewn unrhyw reolaethau neu brosesau.

Gan ddibynnu ar effaith y tor, efallai y byddwn yn penderfynu defnyddio'n pwerau ymchwilio neu orfodi, neu'r ddau, o dan y deddfau diogelu data. Gall yr wybodaeth rydych chi'n ei rhoi hefyd ein helpu i adnabodtueddiadau digwyddiadau diogelwch data.

Lle bo hynny'n briodol, efallai y byddwn yn rhannu'r wybodaeth rydych chi'n ei darparu gydag asiantaethau'r gyfraith a seiberdroseddu neu reoleiddwyr eraill, fel yr Awdurdod Ymddygiad Ariannol. Os yw digwyddiad yn berthnasol i wlad arall, efallai y byddwn ni hefyd yn rhannu'r wybodaeth gyda chynrychiolwyr rheoleiddiol priodol yn y wlad honno. Rhowch wybod inni os hoffech gael rhagor o wybodaeth am hyn.

Dylechchiystyriwch hefyd roi gwybod i bartïon perthnasol eraill am y tor, megis:

• eich yswiriwr; 
• asiantaethau gorfodi'r gyfraith; a'r
• Ganolfan Seiberddiogelwch Genedlaethol (NCSC), os cafodd y tor ei achosi gan weithredwr maleisus.

Sut rydyn ni'n ymateb i ddigwyddiad seiber?

Oni bai na allwch gael mynediad i'ch system, rydych chi'nchirhoi gwybod am ddigwyddiadau seiber ar-lein.

Os ydych wedi profi digwyddiad seiber, gallwch roi gwybod i'r NCSC. Yr NCSC yw awdurdod annibynnol y Deyrnas Unedig ar seiberddiogelwch, sy'n darparu ymateb i ddigwyddiadau seiber i'r digwyddiadau mwyaf critigol sy'n effeithio ar y Deyrnas Unedig. I'ch helpu i benderfynu, rydych chi'nchidarllen yCanllawiau'r NCSC am eu rôl a'r math o ddigwyddiadau y dylech chi ystyried rhoi gwybod amdanyn nhw iddyn nhw.

Pan fydd yna ddigwyddiad a chithau'n credu y gallai fod â bwriad troseddol, rydych chi'nchiystyried rhoi gwybod am hyn i 'Action Fraud'– canolfan genedlaethol y Deyrnas Unedig ar gyfer rhoi gwybod am dwyll a seiberdroseddu. Os yw'ch sefydliad yn yr Alban, yna rydych chi'nchigwneud adroddiad iHeddlu Yr Alban.

Lle bo hynny'n briodol, efallai y byddwn yn cysylltu â'r sefydliadau uchod ynglŷn â'r digwyddiadau y rhoddwyd gwybod inni amdanyn nhw. Er hynny, eich cyfrifoldeb chi yw hysbysu'r holl sefydliadau priodol.