Deddf Data (Defnydd a Mynediad) 2025: paratoi at y drefn gwynion diogelu data newydd

Mae Deddf Data (Defnydd a Mynediad) 2025 yn cyflwyno nifer o ddiwygiadau i fframwaith diogelu data’r DU.

Tra bod llawer o’r newidiadau eisoes mewn grym, mae un gofyniad pwysig yn dod i rym o 19 Mehefin 2026. O’r dyddiad hwn, rhaid i sefydliadau gael proses ffurfiol mewn lle ar gyfer ymdrin â chwynion diogelu data.

Dylai busnesau nad oes ganddynt eisoes broses gwyno glir a gweithredol ar gyfer materion diogelu data ddechrau paratoi nawr.

Beth sydd yn newid?

Mae’r Ddeddf yn cyflwyno hawl statudol newydd i unigolion gwyno yn uniongyrchol i sefydliadau am sut mae eu data personol wedi’i drin. Cyn uwchgyfeirio cwyn i Swyddfa’r Comisiynydd Gwybodaeth (ICO), rhaid rhoi cyfle i unigolion godi’r mater gyda’r sefydliad ei hun yn gyntaf.

Y nod yw annog datrysiadau cynnar o bryderon diogelu data a gwella tryloywder ac atebolrwydd ynghylch trin data.

Beth yw cwyn diogelu data?

Mae diffiniad eang i gwyn diogelu data. Mae’n cynnwys unrhyw fynegiant o anfodlonrwydd ynghylch sut mae sefydliad wedi casglu, defnyddio, storio neu rannu data personol.

Gall hyn gynnwys cwynion sy’n ymwneud â:

• Ymdrin â chais am fynediad at bwnc neu gais hawliau gwrthrych data arall
• Pryderon yn deillio o dor diogelwch data personol
• Y sail gyfreithlon y mae data personol yn cael ei brosesu arni.

Mae’n bwysig nodi nad oes angen i unigolion ddefnyddio terminoleg gyfreithiol neu gyfeirio at ddeddfwriaeth diogelu data er mwyn i fater fod yn gymwys fel cwyn. Mae disgwyl i sefydliadau adnabod a thrin cwynion yn briodol, waeth beth fo’r sianel neu’r fformat a ddefnyddir.

Gofynion allweddol o 19 Mehefin 2026

Mae’n rhaid i sefydliadau allu dangos eu bod yn:

• Darparu ffordd hygyrch i unigolion gyflwyno cwynion diogelu data, fel ffurflen gwynion, cyfeiriad e-bost neu rif ffôn
• Cydnabod cwynion of fewn 30 diwrnod o’u derbyn
• Cymryd camau priodol i ymchwilio ac ymateb heb oedi diangen, gan ddiweddaru achwynwyr ar gynnydd
• Cyfathrebu canlyniad y gŵyn yn glir, gan gynnwys gwybodaeth am uwchgyfeirio i’r ICO lle bo hynny’n berthnasol.

Beth ddylai busnesau fod yn ei wneud nawr?

Er nad yw’r drefn newydd yn dod i rym tan 19 Mehefin 2026, mae’r ICO yn disgwyl i sefydliadau baratoi o flaen llaw. Mae camau allweddol yn cynnwys:

• Adolygu gwybodaeth preifatrwydd: sicrhau bod hysbysiadau preifatrwydd yn esbonio’n glir yr hawl i wneud cwyn diogelu data a sut i wneud un
• Adolygu prosesau cwyno: sicrhau bod gweithdrefnau’n caniatáu cwynion trwy sawl sianel, eu bod yn hawdd dod o hyd iddynt a’u defnyddio, a’u bod yn berthnasol i bob unigolyn
• Gweithdrefnau mewnol ac hyfforddiant: sicrhau bod staff yn gallu adnabod cwynion diogelu data ac yn deall gweithdrefnau uwchgyfeirio
• Cadw cofnodion: cadw cofnodion o’r cwynion a dderbyniwyd, sut y cawsant eu trin a’r canlyniadau, i ddangos cydymffurfiaeth.

I baratoi ar gyfer y gofynion trin cwynion newydd, dylai sefydliadau adolygu hysbysiadau preifatrwydd, gweithdrefnau cwynion a phrosesau mewnol er mwyn sicrhau eu bod yn ateb y gofyn cyn Mehefin 2026.