Bil Diogelu Data a Gwybodaeth Ddigidol: Dyfodol posib i GDPR y DU?

Mae llywodraeth y DU yn bwriadu cyflwyno diwygiadau sylweddol i drefn GDPR y DU yn y Bil Diogelu Data a Gwybodaeth Ddigidol newydd (DPDIB). Cafodd y mesur ei gyflwyno i’r Senedd ddydd Llun 18 Gorffennaf 2022. Cafodd dyddiad yr ail ddyddiad darllen ei ohirio wrth i Liz Truss gael ei phenodi’n Brif Weinidog, ac nid oes dyddiad newydd wedi’i gyhoeddi eto.

Un o brif amcanion y diwygiadau yw gwneud i ffwrdd â biwrocratiaeth diangen a darparu amgylchedd mwy hyblyg i fusnesau, ‘wrth gynnal safonau diogelu data uchel.’ Y nod yw gwneud cydymffurfiaeth â rhai agweddau ar y ddeddfwriaeth diogelu data yn haws a darparu rheolau clir a dealladwy i fusnesau. Mae’r llywodraeth yn credu y bydd y diwygiadau yn torri costau i fusnesau ac yn cynyddu’r siawns o adeiladu partneriaethau data rhyngwladol newydd gyda gwledydd gan gynnwys yr Unol Daleithiau, Awstralia a De Corea.

Fel y mae pethau’n sefyll, mae’r bil yn cynnig newid i Reoliadau Diogelu Data Cyffredinol y Deyrnas Unedig [Rheoliad yr UE a Ddargedwir] (GDPR y DU), Deddf Diogelu Data 2018 (DPA 2018) a Rheoliadau Preifatrwydd a Chyfathrebu Electronig (Cyfarwyddeb y CE) 2003 (PECR 2003). Mae’r newidiadau hyn, os cânt eu gweithredu, yn debygol o achosi ymwahaniad sylweddol rhwng cyfundrefnau GDPR yr UE a’r DU, a fydd yn anochel yn effeithio ar fusnesau ar y ddwy ochr. Darperir crynodeb o’r newidiadau allweddol a’u heffaith gyffredinol ar ymwahaniad yr UE/DU isod.

Dull hyblyg sy’n seiliedig ar risg

Mae’r newidiadau arfaethedig yn y DPDIB yn effeithio ar y rhwymedigaethau atebolrwydd o dan y drefn bresennol, sy’n un o agweddau sylfaenol y GDPR. O dan y dull arfaethedig sy’n seiliedig ar risg, byddai’n ofynnol i sefydliad gymryd mesurau amddiffynnol a fydd yn adlewyrchu maint a sensitifrwydd y data personol dan sylw. I sefydliadau sy’n cydymffurfio â GDPR y DU ar hyn o bryd, mae’r llywodraeth yn annog newid eu dull gweithredu yn y dyfodol i fanteisio ar yr hyblygrwydd ychwanegol. Fodd bynnag, mae’n ymddangos, ar gyfer y busnesau sy’n wynebu’r UE, byddai g weithredu’r newidiadau yn golygu costau ychwanegol anochel.

Newidiadau mewn llywodraethu

O dan erthygl 37 o GDPR y DU, mae’n ofynnol i rai sefydliadau benodi unigolyn i weithredu fel eu Swyddog Diogelu Data (DPO). Mae’r rhain yn cynnwys pob corff cyhoeddus (ac eithrio llysoedd) a sefydliadau y mae eu gweithgareddau’n gofyn am fonitro pynciau data rheolaidd a systemig ar raddfa fawr, neu y mae eu gweithgareddau’n cynnwys prosesu ar raddfa fawr o gategorïau arbennig o ddata neu ddata personol sy’n ymwneud ag euogfarnau a throseddau troseddol. Mae llawer o sefydliadau hefyd yn dewis penodi DPO ar sail wirfoddol i sicrhau bod eu bod yn cydymffurfio â’r GDPR.

Nod y diwygiadau arfaethedig yw disodli’r gofyniad hwn gyda phenodi ‘uwch unigolyn dynodedig’ (DSI). Byddai hefyd yn symud y sbardun ar gyfer apwyntiad gorfodol o fewn sefydliadau preifat o ffocws ar brosesu ar ‘raddfa fawr’, i’r dadansoddiad newydd sy’n seiliedig ar risg. Byddai angen DSI lle mae’r prosesu ‘yn debygol o arwain at risg uchel i hawliau a rhyddid unigolion…’.

O dan GDPR y DU, gallai DPO fod yn weithiwr neu’n apwyntiad allanol. Ar y llaw arall, dim ond unigolyn sydd â swydd Uwch Reolwr o fewn sefydliad y gellir ei benodi’n DSI. Yn wahanol i’r DPO, ni fydd yn ofynnol i’r DSI gael gwybodaeth arbenigol am gyfraith ac arferion diogelu data. Fodd bynnag, byddai cyfrifoldebau’r DSI i raddau helaeth yr un fath â DPOs, ac eithrio’r gofyn i ddelio ag Asesiadau Effaith Diogelu Data (DPIAs) gan nad oes angen y rhain o dan y  diwygiadau arfaethedig.

O dan y dull arfaethedig, bydd gan sefydliadau fwy o hyblygrwydd ar sut i adnabod a rheoli risgiau a chadw cofnodion o’u dadansoddiad. Bydd ganddyn nhw’r dewis i barhau i ddefnyddio DPIAs fel rhan o’u cydymffurfiaeth, ond o dan y cynigion fe allai’r asesiadau hyn fod yn llai llym.

Ni fydd y gofyn i ymgynghori ymlaen llaw â Swyddfa’r Comisiynydd Gwybodaeth (ICO) bellach yn angenrheidiol ar gyfer sefydliad cyn dechrau ar weithgaredd prosesu ‘risg uchel’. Bydd cynllun gwirfoddol yn berthnasol yn lle hynny, lle ‘gall’ sefydliad ymgynghori â’r ICO os ydyn nhw’n dymuno. Fodd bynnag, gall peidio â dewis ymgynghori â’r ICO arwain at ddirwyon trymach yn yr achosion risg uchel hynny.

Mae’r DPDIB hefyd yn cynnig gofynion cadw cofnodion mwy hyblyg o’i gymharu â’r rhai o dan Erthygl 30 o GDPR y DU. Bydd y diwygiadau’n ei gwneud yn ofynnol i sefydliadau gadw cofnodion neu brosesu ‘priodol’ yn lle creu a chadw cofnod o’r holl weithgareddau prosesu y maent yn eu cyflawni.

Mae’r newidiadau hyn wedi creu pryderon ymhlith cymunedau proffesiynol DPOs a rheolwyr data ynglŷn â safonau gwanach a diogelwch proffesiynol.

ICO

Mae’r diwygiadau’n cynnig newid Swyddfa’r Comisiynydd Gwybodaeth o ‘gorfforaeth unigol’ i ‘gorff corfforaethol’, ac enw’r swyddfa i’r ‘Comisiwn Gwybodaeth.’ Mae swyddogaethau’r Comisiynydd Gwybodaeth, fel y maent yn sefyll, eisoes wedi’u dirprwyo i fwrdd rheoli’r ICO, yn unol ag arfer da. Mae’r diwygiadau’n ffurfioli’r strwythur hwn ond wedi gadael y swyddogaethau’n gymharol ddigyfnewid.

Mae’r diwygiadau’n cynnig newid nod statudol yr ICO ac yn cynnwys ‘prif amcan’ newydd i sicrhau ‘lefel briodol o ddiogelwch ar gyfer data personol’ a ‘hyrwyddo ymddiriedaeth a hyder y cyhoedd’ yn ymwneud â defnyddio data. Mae hefyd yn cynyddu gofynion adrodd yr ICO i’r DCMS, a’i bwerau gorfodi.

Mae’r pwerau cynyddol i ddefnyddio ei ddisgresiwn yn ymwneud â phryd a sut y bydd yn ymchwilio i gwynion (e.e., peidio ag ymchwilio i gwynion blinderus na’r rhai lle nad yw’r achwynydd wedi ceisio datrys y mater gyda’r rheolwr data, neu nad yw’r rheolwr wedi gorffen ymchwilio iddynt).

Byddai’r pwerau gorfodi cynyddol yn ei alluogi i benodi DSI o fewn sefydliad ac yn ei gwneud yn ofynnol iddynt gomisiynu adroddiad technegol ynghylch eu defnydd o ddata, gorfodi tystion i fynychu cyfweliadau lle mae’n ‘amau’ toriad GDPR posibl yn y DU a chyhoeddi hysbysiadau cosb y tu hwnt i’r dyddiad cau presennol mewn amgylchiadau penodol.

Dileu’r gofyn am gynrychiolydd yn y DU

Ar hyn  o bryd mae erthygl 27 o GDPR y DU yn gofyn am benodi cynrychiolydd yn y DU ar gyfer sefydliadau sydd wedi’u rhwymo i GDPR y DU ond nad ydynt wedi’u lleoli yn y DU. Mae’r llywodraeth wedi cyfiawnhau dileu’r gofyniad hwn gan ddweud y byddai’n osgoi dyblygu. Fodd bynnag, mae hyn yn newid clir o gymharu â GDPR yr UE.

Trosglwyddiadau Data

Mae DPDIB yn cynnig dull llai llym, sy’n seiliedig ar risg, tuag at drosglwyddiadau rhyngwladol drwy Gynlluniau Data Smart. Mae’n rhoi disgresiwn ehangach i’r Ysgrifennydd Gwladol ynghylch gwneud rheoliadau digonolrwydd. Mae hefyd yn dileu’r gofyn am adolygiad digonolrwydd bob pedair blynedd o blaid ‘monitro parhaus’.

Bydd sefydliadau sydd eisoes yn cydymffurfio â GDPR yr UE neu fesurau diogelu GDPR presennol y DU, yn cael parhau i gynnal y mesurau hyn os nad ydynt yn ‘sylweddol is’ na rheoliadau’r DU.

Ar hyn o bryd, mae’r AEE a’r DU yn gyffredinol yn cydnabod ei gilydd yn ‘ddigonol’ o ran data personol, ac yn anaml iawn y bydd data personol a drosglwyddir rhwng y ddau yn destun cyfyngiadau ychwanegol. Bydd yn rhaid i sefydliadau fod yn ofalus i beidio â newid eu harferion presennol yn sylweddol er mwyn parhau i fod yn ‘ddigonol’ o fewn yr AEE.

Eglurhad

Nod y diwygiadau arfaethedig yw rhoi eglurhad ar wahanol agweddau o’r GDPR. Er enghraifft,  newid y diffiniad o ‘ddata personol’ a newid y math o ddata y gellir ei ystyried yn ‘ddienw’ mewn gwirionedd, ac felly, y tu allan i gwmpas y drefn diogelu data. Nod hyn yw cynorthwyo sefydliadau rhag cyflawni toriadau ‘damweiniol’.

Mae’r llywodraeth hefyd am egluro agweddau ar GDPR y DU i hwyluso ailddefnyddio data yn arloesol. O dan y rheolau presennol, caniateir ail-ddefnyddio lle mae’n gydnaws â’r pwrpas y cafodd ei gasglu ar ei gyfer ac mae’n cydymffurfio â rheolau prosesu cyffredinol eraill. Mae’r diwygiadau’n nodi senarios lle gellir defnyddio data at ‘ddiben newydd’ ac maent yn cael eu ‘cymeradwyo ymlaen llaw’ fel rhai sy’n gydnaws ac yn cydymffurfio.

Buddiannau Cyfreithlon cydnabyddedig

Ni fydd yn ofynnol mwyach i’r gofyniad i gynnal asesiad buddiannau cyfreithlon (i adnabod sail gyfreithlon ar gyfer prosesu data) ar gyfer rhestr ragnodedig (a chynhwysfawr) o weithgareddau, a fyddai’n cael ei alw’n ‘fuddiannau cyfreithlon cydnabyddedig.’ Bydd elfen budd cyhoeddus i’r holl weithgareddau hyn.

Ymateb i DSARs

Mae’r DPDIB yn cynnig newid y trothwy ar gyfer gwrthod neu godi ffi am gais mynediad pwnc data (DSAR) o ‘yn amlwg yn ddi-sail neu’n ormodol’ i ‘flinderus neu ormodol’. Mae ystyr ‘blinderus’ yma yr un fath ag yng nghyd-destun deddfwriaeth rhyddid gwybodaeth (FOIA). Nid yw’n glir pa mor arwyddocaol y bydd y newid hwn yn profi’n ymarferol gan fod y drefn FOIA yn gweithredu mewn cyd-destun tra gwahanol i gyfraith diogelu data.

Mae’r diwygiadau arfaethedig yn rhoi hyblygrwydd pellach i sefydliadau mewn perthynas â DSARs drwy ymestyn eu hamser ymateb (yn ogystal â’r cyfnod estyniad presennol sydd ar gael o dan GDPR).

PECR 2003 (diwygiadau i gwcis a gorfodaeth)

Mae’r diwygiadau’n caniatáu i wefannau gael gwared ar eu baner cwcis o dan amgylchiadau penodol sy’n cael eu hystyried yn ychydig iawn o risg (e.e., dadansoddi’r we, diweddariadau awtomatig ac ati). Y rhesymeg tu ôl i hyn yw gwneud y wefan yn fwy cyfeillgar i gwsmeriaid. Fodd bynnag, byddai angen esbonio hyn yn glir i ddefnyddwyr, a bydd angen iddynt fod â’r gallu i optio allan.

Mae’r diwygiadau hefyd yn cynyddu’r dirwyon uchaf am dorri PECR yn ddifrifol i GDPR y DU, sy’n nodedig gan fod mwyafrif y dirwyon a osodir gan yr ICO yn hanesyddol wedi bod am dorri PECR.

Sut bydd y diwygiadau hyn yn effeithio ar fusnesau?

Ers 2018, mae’r GDPR ac erbyn hyn GDPR y DU wedi cael eu cydnabod a’u derbyn yn eang   ymysg busnesau a defnyddwyr. Gydag amheuaeth gynyddol gan ddefnyddwyr ynghylch casglu a phrosesu data, gall y newidiadau arfaethedig amharu ar y cydbwysedd sensitif rhwng defnyddwyr, busnesau a’r ffordd y mae data’n cael ei drosglwyddo rhwng y ddau.

Mae’r diwygiad arfaethedig yn debygol o arwain at fusnesau presennol yn gorfod gwneud  gwaith sylweddol i addasu i’r drefn newydd. I fusnesau sy’n wynebu’r UE, bydd angen cadw mesurau GDPR y DU ar gyfer cydymffurfio (os derbynnir hyn gan yr UE fel rhywbeth sy’n cydymffurfio lle mae trefn diogelu data mwy cyffredinol y DU yn cael ei amrywio pe byddai’r diwygio arfaethedig yn llwyddo). Os yw’r Comisiwn Ewropeaidd yn gwneud unrhyw benderfyniad negyddol ynghylch digonolrwydd safonau diwygiedig y DU, mae llif y data personol rhwng y ddwy awdurdodaeth yn debygol o wynebu rhwystrau, a fyddai’n arbennig o gostus i fusnesau eu goresgyn.

Mai p’un a fydd y diwygiadau’n helpu i adeiladu perthnasoedd data newydd gyda’r Unol Daleithiau neu Awstralia hefyd eto i’w gweld, gan fod llawer o wledydd yn mabwysiadu darpariaethau tebyg i GDPR yn gynyddol ynghylch materion fel hawliau pynciau data, yr angen am hysbysiadau preifatrwydd tryloyw a chyfyngiadau trosglwyddo data llymach. Mae darpariaethau GDPR yn cael eu hystyried yn eang yn dda gan ddefnyddwyr yn fyd-eang gan ei fod yn darparu’r lefel uchaf o amddiffyniad sydd ar gael.

Fodd bynnag, mae graddau’r effeithiau hyn yn dibynnu ar y ffurf derfynol y bydd y DPDIB yn ei chymryd. Wrth iddo fynd drwy’r Senedd, does dim dwywaith y bydd y bil yn cael ei drafod a’i ddiwygio. Dylai busnesau barhau i fod yn effro i unrhyw newidiadau arfaethedig a lefel y gwahaniaeth oddi wrth GDPR yr UE, sy’n ymddangos yn debygol o fod yn broblemus.