Article

Y Bil Data (Defnydd a Mynediad): goblygiadau i fusnesau

13 May 2025

A person sat at a computer

Mae’r Bil Data (Defnydd a Mynediad) (“Bil Data“) bellach wedi cwblhau ei daith drwy Dŷ’r Arglwyddi ac mae’n aros am ddyddiad i ddechrau’r cyfnod adroddiad yn Nhŷ’r Cyffredin.

Ar yr amod nad oes oedi annisgwyl, rhagwelir y bydd y Bil Data yn dod yn gyfraith yn ddiweddarach eleni.

Bwriad y Bil Data yw diwygio deddfau diogelu data y DU, gan ddod â newidiadau i GDPR y DU, Deddf Diogelu Data 2018 a Rheoliadau Preifatrwydd a Chyfathrebu Electronig (“PECR“). Yn yr erthygl hon, byddwn yn edrych ar y pum newid allweddol yn ogystal â’r hyn y gall busnesau ei wneud i sicrhau eu bod yn parhau i gydymffurfio ar ôl deddfu’r Bil Data.

1. Buddiannau dilys

Bydd y Bil Data yn ceisio cynnwys rhestr newydd o ‘fuddiannau dilys cydnabyddedig’, y gall busnesau ddibynnu arni fel sail gyfreithlon ar gyfer prosesu data personol. Yn bwysig, wrth ddibynnu ar y sail gyfreithlon hon, ni fydd yn ofynnol i fusnesau gynnal asesiad buddiannau dilys.

Ar ben hynny, bydd y Bil Data hefyd yn cyflwyno rhestr nad yw’n gynhwysfawr o weithgareddau prosesu a fydd yn dod o fewn y sail gyfreithlon buddiannau dilys bresennol. Mae enghreifftiau’n cynnwys prosesu at ddibenion marchnata uniongyrchol a throsglwyddiadau o fewn grŵp ar gyfer gweinyddiaeth fewnol. Bwriad yr enghreifftiau hyn yw cynorthwyo busnesau wrth gwblhau asesiad buddiannau dilys.

Dylai busnesau sy’n dibynnu ar fuddiannau dilys fel sail gyfreithlon wirio a allant ddibynnu ar y diwygiadau hyn ac os felly, ystyried diweddaru dogfennau allweddol fel hysbysiadau preifatrwydd a chofnodion prosesu.

2. Trosglwyddiadau rhyngwladol

Mae’r Llywodraeth yn cymryd agwedd ychydig yn fwy hamddenol at drosglwyddo data rhyngwladol. O dan y Bil Data, bydd angen i fusnesau sicrhau nad yw’r safonau diogelu data yn y wlad sy’n derbyn yn “sylweddol is” na safonau’r DU. Ar hyn o bryd, rhaid i fusnesau sicrhau bod y safonau yn “yn cyfateb yn y bôn” i’r safonau o dan gyfraith y DU.

Bydd angen i fusnesau ystyried goblygiadau’r safon ddiwygiedig hon wrth wneud trosglwyddiadau rhyngwladol a phenderfynu pa fesurau diogelwch priodol i’w rhoi ar waith.

3. Dirwyon PECR

Bydd y ddirwy uchaf am beidio â chydymffurfio â rheolau marchnata PECR yn cynyddu o £500,000 i (i) £17.5m neu (ii) 4% o drosiant byd-eang blynyddol y busnesau yn y flwyddyn ariannol flaenorol, pa un bynnag yw’r uchaf. O ganlyniad, bydd dirwyon ariannol am dorri PECR a’r GDPR nawr wedi’u halinio.

Dylai busnesau adolygu eu polisïau a’u gweithdrefnau cyfredol i sicrhau eu bod yn cydymffurfio â PECR – yn enwedig, o ran eu defnydd o gwcis ac wrth ymgymryd â marchnata uniongyrchol.

4. Gwneud penderfyniadau awtomataidd

Ar hyn o bryd, o dan GDPR y DU, ni all busnesau – yn amodol ar rai eithriadau – ymgymryd â gwneud penderfyniadau awtomataidd (penderfyniad a wneir heb gyfranogiad dynol) sy’n cael effaith gyfreithiol neu effaith debyg arwyddocaol ar unigolion. Fodd bynnag, bydd y Bil Data yn ceisio llacio’r cyfyngiad hwn fel ei fod yn berthnasol i brosesu data categori arbennig e.e. data iechyd yn unig. O ganlyniad, bydd gan fusnesau fwy o hyblygrwydd i brosesu data personol trwy ddulliau awtomataidd (e.e. mewn systemau AI), yn amodol ar roi mesurau diogelu penodol ar waith.

Dylai busnesau sy’n defnyddio gwneud penderfyniadau awtomataidd ystyried a allant ddibynnu ar y rheolau hyn sydd wedi’u llacio ac os felly, a oes ganddynt fesurau diogelwch priodol ar waith.

5. Ceisiadau am Fynediad at Ddata gan y Testun

Bydd ‘cyfnod amser perthnasol’ newydd yn cael ei gyflwyno ar gyfer ymateb i geisiadau am fynediad at ddata gan y testun. Ar hyn o bryd, y rheol gyffredinol yw bod yn rhaid i fusnes ymateb i gais am fynediad at ddata gan y testun heb oedi diangen a beth bynnag, o fewn mis i dderbyn y cais.

Mae’r Bil Data yn cynnig diwygio hyn fel bod y dyddiad cau un mis yn dechrau o’r “amser perthnasol”. Diffinnir yr amser perthnasol fel y diweddaraf o (i) y dyddiad y mae’r busnes yn derbyn y cais; (ii) y dyddiad y mae’r busnes wedi gwirio a chadarnhau hunaniaeth testun y data (os yw’n berthnasol); a (iii) y dyddiad y mae’r busnes yn derbyn y ffi (os o gwbl) a godir mewn cysylltiad â’r cais.

Bydd angen i fusnesau sicrhau bod eu polisïau mewnol ar gyfer ymdrin â cheisiadau am fynediad at ddata gan y testun yn cael eu diweddaru yn unol â’r newidiadau a weithredwyd gan y Bil Data a bod aelodau staff priodol wedi derbyn hyfforddiant cyfredol.

Edrych ymlaen

Felly, beth nesaf? Wel, fel y soniwyd uchod, gan dybio bod popeth yn mynd yn iawn, bydd y Bil Data yn dod yn gyfraith yn ystod y misoedd nesaf.

Ar ôl deddfu’r Bil Data, disgwylir i’r UE gynnal adolygiad ffurfiol o fframwaith diogelu data y DU. Bydd yr adolygiad hwn yn penderfynu ar ddigonolrwydd parhaus safonau diogelu data y DU, sydd ar hyn o bryd yn caniatáu llif rhydd data rhwng y DU a’r UE heb ddogfennaeth ychwanegol. Mae penderfyniadau digonolrwydd yr UE, a oedd i fod i ddod i ben yn wreiddiol ar 27 Mehefin 2025, wedi’u hymestyn tan 27 Rhagfyr 2025 i ddarparu ar gyfer gweithredu’r Bil Data cyn eu hasesiad.

Os oes angen cymorth arnoch i adolygu a/neu ddiweddaru eich dogfennau neu os oes angen cyngor arbenigol ar gyfraith diogelu data, cysylltwch â’n tîm heddiw.

Translate to English

Sut gallwn ni eich helpu chi?

"*" indicates required fields

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Diweddariadau cyfreithiol ac arweinyddiaeth meddwl

Charlotte Thornton Smith and Rebecca Leask
Resource
11 August 2025 1 minute read

About Us

Read more
View All