Y Bil Data (Defnydd a Mynediad): goblygiadau i fusnesau

Mae’r Bil Data (Defnydd a Mynediad) (“Bil Data“) bellach wedi cwblhau ei daith drwy Dŷ’r Arglwyddi ac mae’n aros am ddyddiad i ddechrau’r cyfnod adroddiad yn Nhŷ’r Cyffredin.

Ar yr amod nad oes oedi annisgwyl, rhagwelir y bydd y Bil Data yn dod yn gyfraith yn ddiweddarach eleni.

Bwriad y Bil Data yw diwygio deddfau diogelu data y DU, gan ddod â newidiadau i GDPR y DU, Deddf Diogelu Data 2018 a Rheoliadau Preifatrwydd a Chyfathrebu Electronig (“PECR“). Yn yr erthygl hon, byddwn yn edrych ar y pum newid allweddol yn ogystal â’r hyn y gall busnesau ei wneud i sicrhau eu bod yn parhau i gydymffurfio ar ôl deddfu’r Bil Data.

1. Buddiannau dilys

Bydd y Bil Data yn ceisio cynnwys rhestr newydd o ‘fuddiannau dilys cydnabyddedig’, y gall busnesau ddibynnu arni fel sail gyfreithlon ar gyfer prosesu data personol. Yn bwysig, wrth ddibynnu ar y sail gyfreithlon hon, ni fydd yn ofynnol i fusnesau gynnal asesiad buddiannau dilys.

Ar ben hynny, bydd y Bil Data hefyd yn cyflwyno rhestr nad yw’n gynhwysfawr o weithgareddau prosesu a fydd yn dod o fewn y sail gyfreithlon buddiannau dilys bresennol. Mae enghreifftiau’n cynnwys prosesu at ddibenion marchnata uniongyrchol a throsglwyddiadau o fewn grŵp ar gyfer gweinyddiaeth fewnol. Bwriad yr enghreifftiau hyn yw cynorthwyo busnesau wrth gwblhau asesiad buddiannau dilys.

Dylai busnesau sy’n dibynnu ar fuddiannau dilys fel sail gyfreithlon wirio a allant ddibynnu ar y diwygiadau hyn ac os felly, ystyried diweddaru dogfennau allweddol fel hysbysiadau preifatrwydd a chofnodion prosesu.

2. Trosglwyddiadau rhyngwladol

Mae’r Llywodraeth yn cymryd agwedd ychydig yn fwy hamddenol at drosglwyddo data rhyngwladol. O dan y Bil Data, bydd angen i fusnesau sicrhau nad yw’r safonau diogelu data yn y wlad sy’n derbyn yn “sylweddol is” na safonau’r DU. Ar hyn o bryd, rhaid i fusnesau sicrhau bod y safonau yn “yn cyfateb yn y bôn” i’r safonau o dan gyfraith y DU.

Bydd angen i fusnesau ystyried goblygiadau’r safon ddiwygiedig hon wrth wneud trosglwyddiadau rhyngwladol a phenderfynu pa fesurau diogelwch priodol i’w rhoi ar waith.

3. Dirwyon PECR

Bydd y ddirwy uchaf am beidio â chydymffurfio â rheolau marchnata PECR yn cynyddu o £500,000 i (i) £17.5m neu (ii) 4% o drosiant byd-eang blynyddol y busnesau yn y flwyddyn ariannol flaenorol, pa un bynnag yw’r uchaf. O ganlyniad, bydd dirwyon ariannol am dorri PECR a’r GDPR nawr wedi’u halinio.

Dylai busnesau adolygu eu polisïau a’u gweithdrefnau cyfredol i sicrhau eu bod yn cydymffurfio â PECR – yn enwedig, o ran eu defnydd o gwcis ac wrth ymgymryd â marchnata uniongyrchol.

4. Gwneud penderfyniadau awtomataidd

Ar hyn o bryd, o dan GDPR y DU, ni all busnesau – yn amodol ar rai eithriadau – ymgymryd â gwneud penderfyniadau awtomataidd (penderfyniad a wneir heb gyfranogiad dynol) sy’n cael effaith gyfreithiol neu effaith debyg arwyddocaol ar unigolion. Fodd bynnag, bydd y Bil Data yn ceisio llacio’r cyfyngiad hwn fel ei fod yn berthnasol i brosesu data categori arbennig e.e. data iechyd yn unig. O ganlyniad, bydd gan fusnesau fwy o hyblygrwydd i brosesu data personol trwy ddulliau awtomataidd (e.e. mewn systemau AI), yn amodol ar roi mesurau diogelu penodol ar waith.

Dylai busnesau sy’n defnyddio gwneud penderfyniadau awtomataidd ystyried a allant ddibynnu ar y rheolau hyn sydd wedi’u llacio ac os felly, a oes ganddynt fesurau diogelwch priodol ar waith.

5. Ceisiadau am Fynediad at Ddata gan y Testun

Bydd ‘cyfnod amser perthnasol’ newydd yn cael ei gyflwyno ar gyfer ymateb i geisiadau am fynediad at ddata gan y testun. Ar hyn o bryd, y rheol gyffredinol yw bod yn rhaid i fusnes ymateb i gais am fynediad at ddata gan y testun heb oedi diangen a beth bynnag, o fewn mis i dderbyn y cais.

Mae’r Bil Data yn cynnig diwygio hyn fel bod y dyddiad cau un mis yn dechrau o’r “amser perthnasol”. Diffinnir yr amser perthnasol fel y diweddaraf o (i) y dyddiad y mae’r busnes yn derbyn y cais; (ii) y dyddiad y mae’r busnes wedi gwirio a chadarnhau hunaniaeth testun y data (os yw’n berthnasol); a (iii) y dyddiad y mae’r busnes yn derbyn y ffi (os o gwbl) a godir mewn cysylltiad â’r cais.

Bydd angen i fusnesau sicrhau bod eu polisïau mewnol ar gyfer ymdrin â cheisiadau am fynediad at ddata gan y testun yn cael eu diweddaru yn unol â’r newidiadau a weithredwyd gan y Bil Data a bod aelodau staff priodol wedi derbyn hyfforddiant cyfredol.

Edrych ymlaen

Felly, beth nesaf? Wel, fel y soniwyd uchod, gan dybio bod popeth yn mynd yn iawn, bydd y Bil Data yn dod yn gyfraith yn ystod y misoedd nesaf.

Ar ôl deddfu’r Bil Data, disgwylir i’r UE gynnal adolygiad ffurfiol o fframwaith diogelu data y DU. Bydd yr adolygiad hwn yn penderfynu ar ddigonolrwydd parhaus safonau diogelu data y DU, sydd ar hyn o bryd yn caniatáu llif rhydd data rhwng y DU a’r UE heb ddogfennaeth ychwanegol. Mae penderfyniadau digonolrwydd yr UE, a oedd i fod i ddod i ben yn wreiddiol ar 27 Mehefin 2025, wedi’u hymestyn tan 27 Rhagfyr 2025 i ddarparu ar gyfer gweithredu’r Bil Data cyn eu hasesiad.

Os oes angen cymorth arnoch i adolygu a/neu ddiweddaru eich dogfennau neu os oes angen cyngor arbenigol ar gyfraith diogelu data, cysylltwch â’n tîm heddiw.