Fframwaith diogelu data

Sut rydyn ni’n ymdrin â chwynion diogelu data

Mae'r tudalen yma yn esbonio sut rydyn ni’n ymdrin â chwynion diogelu data, gan gynnwys sut rydyn ni’n eu hasesu nhw. Rydyn ni’n rhestru'r prif adrannau isod:

• Gwirio a ydyn ni’n cael ymdrin â chwyn
• Penderfynu i ba raddau y byddwn ni’n ymchwilio i gŵyn
  • Meini prawf ar gyfer brysbennu cwynion
    • Yr hyn y byddwn ni’n ei ystyried i'n helpu i benderfynu a oes angen inni edrych ar gŵyn yn fanylach
    • Yr hyn y byddwn ni’n ei ystyried i'n helpu i benderfynu nad oes angen inni edrych ar gŵyn yn fanylach
• Beth sy'n digwydd os penderfynwn ni edrych ar gŵyn yn fanylach?
• Beth sy'n digwydd os nad oes angen inni edrych ar gŵyn yn fanylach?
• Beth sy'n digwydd os yw'r achwynydd yn anghytuno â'n canlyniad ni?
• Beth fyddwn ni'n ei wneud â'r wybodaeth rydyn ni’n ei chasglu o gwynion?

Os yw pobl yn poeni am sut mae sefydliad wedi trin eu gwybodaeth bersonol, maen nhw’n cael dod aton ni yn yr ICO i gael help.

Mae'r gyfraith yn ei gwneud yn ofynnol inni:

• ymchwilio i gŵyn diogelu data i'r graddau sy'n briodol; a
• rhoi gwybod am y canlyniad i'r unigolyn sy'n gwneud y gŵyn (yr achwynydd).

Rydyn ni’n asesu pob cwyn yn unigol ac yn penderfynu i ba raddau y dylen ni ymwneud â’r gŵyn, a hynny drwy ddefnyddio'r meini prawf isod. Mae brysbennu cwynion a'u trin nhw ar sail eu hamgylchiadau unigol yn caniatáu inni:

• ganolbwyntio ar y materion diogelu data mwyaf difrifol;
• rhoi canlyniadau amserol; a
• helpu sefydliadau i gydymffurfio â'u rhwymedigaethau diogelu data.

Mae hyn yn golygu ein bod yn cofnodi rhai cwynion at ddibenion gwybodaeth yn unig, heb ragor o ymchwilio. Er hynny, mae pob cwyn yn ein helpu i wneud y canlynol:

• adnabod tueddiadau;
• sylwi ar risgiau sy'n dod i'r amlwg; a
• bwydo’n gwaith rheoleiddio ehangach.

Rydyn ni wedi cynllunio'r fframwaith yma, gan gynnwys y meini prawf ar gyfer pryd y byddwn ni’n edrych ar gŵyn, er mwyn:

• bod yn dryloyw ynglŷn â sut a pham rydyn ni’n gwneud penderfyniadau;
• rhoi strwythur a chefnogaeth inni pan fyddwn ni’n ystyried y gwahanol fathau o gwynion sy’n dod i law; a hefyd
• ein helpu i fod mor gyson â phosibl, gan roi hyblygrwydd inni arfer ein crebwyll yr un pryd.

Rydyn ni’n gofyn i bobl ddefnyddio’n ffurflen gwyno gan fod hynny’n eu procio i roi'r wybodaeth sydd ei hangen arnom.

Os bydd achwynwyr yn defnyddio dulliau eraill i gyflwyno’u cwyn, mae'n bwysig eu bod yn darparu cymaint o wybodaeth berthnasol â phosibl, yn enwedig am unrhyw niwed a gafwyd. Os na chawn ni’r holl wybodaeth sydd ei hangen arnom, efallai y byddwn ni’n cofnodi'r gŵyn at ddibenion gwybodaeth yn unig.

Wrth ystyried cwyn, rydyn ni’n adolygu'r manylion sydd wedi’u darparu er mwyn penderfynu i ba raddau y mae’n briodol inni ymdrin â’r gŵyn. Gall hyn amrywio o adolygiad ysgafn i gynnal ymholiadau manylach, gan ddibynnu ar yr amgylchiadau ac yn unol â'r meini prawf rydyn ni wedi’u cyhoeddi. Mae hyn yn wahanol i benderfynu agor ymchwiliad, pryd y byddwn ni’n anfon llythyr agor achos at sefydliad i roi gwybod iddyn nhw.

Gwirio a ydyn ni’n cael ymdrin â chwyn

Cyn dod â chwyn aton ni, rydyn ni’n argymell y dylai pobl roi cyfle i'r sefydliad gywiro pethau. Trwy wneud hyn, mae modd datrys llawer o'u pryderon ynglŷn â diogelu data yn gyflym ac yn hawdd.

Pan fydd cwyn yn dod i law, rydyn ni’n gwirio ei bod yn ymwneud â sut mae sefydliad wedi trin gwybodaeth bersonol. Mewn rhai achosion, efallai y bydd rheoleiddiwr arall mewn sefyllfa well i ymdrin â chwyn lle mae'r materion yn gorgyffwrdd â'u cyfrifoldebau nhw. Mae ein rôl ni’n golygu nad ydyn ni’n ymdrin â chwynion:

• nad ydyn nhw’n ymwneud â materion diogelu data;
• a ddylai fod wedi mynd at sefydliad neu reoleiddiwr arall er mwyn iddyn nhw ymdrin â hi am fod y gŵyn yn ymwneud â maes maen nhw'n ei drin; neu
• sy’n ymwneud â gwasanaeth cwsmeriaid sefydliad yn unig. Os yw cwyn yn ymwneud â gwasanaeth cwsmeriaid sefydliad a mater diogelu data hefyd, byddwn ni’n ymdrin â’r agwedd ar y gŵyn sy’n ymwneud â diogelu data.

Penderfynu i ba raddau y byddwn ni’n ymchwilio i gŵyn

Rydyn ni’n pwyso a mesur pob cwyn yn ofalus ac yn defnyddio'r meini prawf isod i benderfynu a allwn ni roi canlyniad ar y cam yma ynteu a oes angen edrych arno’n fanylach.

Oherwydd yr ystod o gwynion sy’n dod i law, mae hyn yn gofyn am rywfaint o grebwyll. Gan hynny, rydyn ni’n defnyddio'r meini prawf canlynol i'n helpu i aros mor gyson â phosibl.

Meini prawf ar gyfer brysbennu cwynion

Yr hyn y byddwn ni’n ei ystyried i'n helpu i benderfynu a oes angen inni edrych ar gŵyn yn fanylach

• Ydy'r mater diogelu data wedi achosi lefel uchel o niwed i unrhyw un, neu’n debygol o’i hachosi?

  I gael rhagor o wybodaeth, gweler niwed mewn cwynion.

• Ydy'r mater diogelu data wedi effeithio'n arwyddocaol ar unrhyw un, gan gynnwys pobl sydd angen cymorth ychwanegol i amddiffyn eu hunain, neu’n debygol o wneud?

  Er enghraifft, pan fo’r mater yn ymwneud â phlant, neu bobl a allai ei chael hi'n anoddach deall risgiau neu gymryd camau eu hunain.

• Ydy'r mater diogelu data wedi cael effaith andwyol arwyddocaol ar nifer sylweddol o bobl, neu'n debygol o wneud?

  Er enghraifft, pan fo polisi neu arfer wedi effeithio'n negyddol ar lawer o bobl.

• A fydd edrych ar y gŵyn diogelu data yn fanylach yn ein helpu i wella hawliau diogelu data neu'r ffordd y mae'r sefydliad yn defnyddio gwybodaeth bersonol yn sylweddol?

  Er enghraifft, lle gallai newidiadau gael eu gwneud i bolisïau neu arferion y sefydliad a fyddai o fudd i lawer o bobl os byddwn ni’n ymyrryd.

• Oes rhaid i bobl ddarparu eu gwybodaeth bersonol i'r sefydliad?

  Er enghraifft, pan fo rhaid i bobl ddarparu eu gwybodaeth er mwyn cael gwasanaethau hanfodol sydd eu hangen arnynt ac nad oes dewis arall ymarferol ar gael.

• Ydy'r mater diogelu data yn ymwneud â'n blaenoriaethau strategol??

  Er enghraifft, pan fo'r gŵyn yn ymwneud â maes rydyn ni wedi penderfynu canolbwyntio arno yn ein gwaith rheoleiddio.

• Ydy gwneud ymholiadau er budd y cyhoedd?

  Er enghraifft, ydy hyn yn codi mater diogelu data newydd neu uchel ei broffil?

• Ydyn ni eisoes yn gwybod am y mater diogelu data?

Yr hyn y byddwn ni’n ei ystyried i'n helpu i benderfynu nad oes angen inni edrych ar gŵyn yn fanylach:

• Ydyn ni eisoes yn gwybod am y mater diogelu data?

  Er enghraifft, pan ydyn ni eisoes wedi cael gwybod am y mater a’i fod wrthi'n cael ei ddatrys.

• Ydy'r sefydliad wrthi ar hyn o bryd yn cymryd camau i ymateb i'r gŵyn? Ydy'r camau hynny'n ymddangos yn ddigonol?

  Er enghraifft, pan fo'r sefydliad yn edrych ar y gŵyn a’i bod yn ymddangos bod y sefydliad yn cymryd camau priodol.

• Ydyn ni'n credu bod y sefydliad wedi cydymffurfio â’r gyfraith diogelu data?

  Er enghraifft, pan ydyn ni'n meddwl bod yr wybodaeth yn y gŵyn yn awgrymu bod y sefydliad wedi gwneud yr hyn y mae'r gyfraith yn gofyn iddo ei wneud.

• Ydy'r sefydliad eisoes wedi mynd i'r afael â'r mater diogelu data ac wedi cymryd camau priodol?

  Er enghraifft, pan fo'r sefydliad wedi cywiro'r broblem ac wedi rhoi mesurau ar waith i’w hatal rhag digwydd eto.

Nid yw'r rhestr yma yn gynhwysfawr. Byddwn ni’n adolygu'r meini prawf o dro i dro.

Beth sy'n digwydd os penderfynwn ni edrych ar gŵyn yn fanylach?

Os oes angen inni ymchwilio ymhellach cyn roi canlyniad, ar sail y meini prawf uchod a'n crebwyll ni, rydyn ni’n dyrannu'r gŵyn i swyddog achosion. Mae’r swyddog achosion:

• yn pwyso a mesur ffeithiau’r hyn sydd wedi digwydd, a hynny yn deg ac yn ddiduedd;
• yn gofyn i'r achwynydd a'r sefydliad roi rhagor o wybodaeth, os ydyn nhw’n credu bod ei hangen; ac
• yn darparu canlyniad.

Mae nifer o ganlyniadau posibl ar gyfer cwyn:

• Rydyn ni’n cofnodi'r gŵyn ond efallai mai dim ond cadw cofnod ohoni wnawn ni ar hyn o bryd. Gall gwybodaeth fel hyn ein helpu i ddysgu rhagor am y modd y mae sefydliad yn ymdrin â gwybodaeth bersonol a cheisiadau am hawliau gwybodaeth.
• Efallai y byddwn ni’n dweud wrth yr achwynydd ei bod yn ymddangos bod y sefydliad wedi cydymffurfio â’r gyfraith diogelu data.
• Efallai y byddwn ni’n dweud wrth y sefydliad am wneud mwy o waith i helpu i ddatrys y gŵyn neu i esbonio’u safbwynt yn gliriach i'r achwynydd. Gallai hyn olygu cael y sefydliad i roi eu gwybodaeth iddyn nhw neu gywiro unrhyw anghywirdebau.
• Efallai y byddwn ni’n argymell bod y sefydliad yn gwella sut mae'n trin gwybodaeth bersonol. Er enghraifft, efallai y byddwn ni’n gofyn iddyn nhw adolygu eu polisïau neu eu gweithdrefnau, eu canllawiau neu eu safonau.
• Efallai y byddwn ni’n cymryd camau rheoleiddio, er nad ydyn ni’n gallu gwneud hynny ar gyfer pob cwyn unigol, ac na fyddai'n gymesur inni wneud hynny. Mae'n bwysig ein bod yn canolbwyntio’n hadnoddau ar achosion lle gallwn gael yr effaith fwyaf. Er hynny, mae'r wybodaeth rydyn ni'n ei chasglu o gwynion yn ein helpu i adnabod materion ehangach o ran sut mae sefydliad yn cydymffurfio â’r gyfraith, gan fwydo’n hymyriadau rheoleiddiol..

Beth sy'n digwydd os nad oes angen inni edrych ar gŵyn yn fanylach?

Ar sail y meini prawf uchod a'n crebwyll ni, efallai y byddwn ni’n dod i'r casgliad nad oes angen inni gael rhagor o wybodaeth na chysylltu â'r sefydliad. Yn hytrach, efallai y byddwn ni’n penderfynu cofnodi'r gŵyn at ddibenion gwybodaeth.

Beth sy'n digwydd os yw'r achwynydd yn anghytuno â'n canlyniad ni?

Os yw'r achwynydd yn anghytuno â chanlyniad y gŵyn, mae’n cael gofyn inni am adolygiad.

Er mwyn ategu’r cais, gall yr achwynydd ddarparu gwybodaeth ychwanegol, gan gynnwys rhagor o fanylion am y niwed a gawson nhw neu bobl eraill neu unrhyw amgylchiadau a allai fod yn berthnasol i'w hachos.

Mae swyddog adolygu yn edrych ar sut rydyn ni wedi ymdrin â'r gŵyn ac yn ysgrifennu at yr achwynydd yn esbonio'r hyn maen nhw wedi'i ganfod o fewn 30 diwrnod calendr.

Gall sefydliadau gwyno inni hefyd os ydyn nhw’n anghytuno â chanlyniad cwyn.

Beth fyddwn ni'n ei wneud â'r wybodaeth rydyn ni’n ei chasglu o gwynion?

Mae'r crynodeb yma yn amlinellu’n dull arfaethedig sy'n dal i gael ei ddatblygu.

Byddwn ni’n cofnodi faint o gwynion diogelu data sy’n dod i law am bob sefydliad. Os yw nifer y cwynion yn mynd yn uwch na swm penodol (y trothwy) o fewn cyfnod penodol o amser, gallwn ddadansoddi'r wybodaeth sydd ar gael gennym am y sefydliad er mwyn penderfynu a ddylen ni ymyrryd. Mae hyn yn cynnwys, ymysg pethau eraill, gwybodaeth sydd gennym o fewn yr ICO, a gwybodaeth mewn cwynion rydyn ni wedi'u cael am y sefydliad. Y bwriad yn hyn o beth yw penderfynu pam mae'r sefydliad wedi cyrraedd y trothwy.

Dydyn ni ddim wedi cwblhau manylion y trothwy a'r cyfnod amser. Byddwn ni’n dal i edrych ar y posibiliadau ac yn cyhoeddi'r manylion terfynol ar y tudalen yma cyn inni roi’r broses yma ar waith.

Mae'n bwysig nodi'r canlynol:

• Nid yw'r trothwy ei hun yn ffordd o ymdrin â chwynion, a byddwn ni’n dal i ymchwilio i bob cwyn i'r graddau priodol. Diben y dull yma yw:
  • nodi tueddiadau, themâu a mewnwelediadau defnyddiol o'r nifer fawr o gwynion sy’n dod i law; ac
  • ymyrryd yn gynnar pan fo sefydliadau'n dangos patrymau diffyg cydymffurfio cyn i niwed pellach ddigwydd.
• Fyddwn ni ddim o reidrwydd yn ailagor achosion unigol os yw sefydliadau wedi cyrraedd y trothwy. Yn hytrach, byddwn ni’n cysylltu â sefydliadau i drafod tueddiadau lefel uchel neu faterion ailadroddus o fewn y cwynion rydyn ni wedi'u cael.
• Fydd cyrraedd y trothwy ddim yn sbarduno camau rheoleiddio yn awtomatig. Rydyn ni’n disgwyl y gallen ni gael nifer sylweddol o gwynion am rai sefydliadau a fydd yn golygu eu bod yn cyrraedd y trothwy. Ond nid yw hyn o reidrwydd yn golygu nad ydyn nhw wedi cydymffurfio â’r gyfraith diogelu data. Os ydyn ni’n credu nad oes llawer o dystiolaeth o ddiffyg cydymffurfio systemig o fewn y sefydliad hwnnw, fyddwn ni ddim yn gweithredu ymhellach. Dim ond os ydyn ni’n credu y bydden nhw ar eu hennill yn sgil ein hymyriad y byddwn ni’n cysylltu â'r sefydliad.

Dim ond os nad yw’r sefydliadau'n ymwneud â ni y byddwn ni’n ystyried cymryd camau rheoleiddio pellach, neu os ydyn ni’n teimlo bod y camau y maen nhw wedi'u cymryd i fynd i'r afael â'r materion yn annigonol. Er hynny, os ydyn ni o’r farn bod y mater yn ddigon difrifol, gallwn gymryd camau rheoleiddio pellach hyd yn oed pan fydd y sefydliadau wedi ymwneud â ni.

Bydd y gwaith yma yn bwydo'n uniongyrchol i'n gwaith rheoleiddio ehangach. Mae'r wybodaeth rydyn ni’n ei chasglu o gwynion yn ein helpu i adnabod materion y gall fod angen ymchwilio’n fanylach iddyn nhw. Pan welwn ni batrymau neu bryderon difrifol sy'n dod i'r amlwg fel hyn, gallwn eu huwchgyfeirio i'w hystyried ymhellach.

Byddwn ni’n rhannu gwybodaeth rydyn ni’n ei chasglu o'r cwynion hyn gyda thimau perthnasol o fewn yr ICO i roi golwg glir, gyffredinol iddyn nhw o'r holl gwynion sy’n dod i law. Bydd hyn yn ein helpu i flaenoriaethu a gwneud penderfyniadau'n effeithiol ar draws ein swyddogaethau rheoleiddio.