Cwestiynau ac Atebion Aelodau

Beth yw'r GDPR?

Mae'r Rheoliadau Gwarchod Data Cyffredinol (GDPR) yn set newydd o reoliadau'r Undeb Ewropeaidd (UE) sydd i ddod i rym ar 25 Mai 2018. Bydd yn newid sut mae sefydliadau'n prosesu a thrin data, gyda'r nod allweddol o roi mwy o ddiogelwch a hawliau i unigolion.

Pa ddeddfau sy'n rheoli diogelu data yn y DU ar hyn o bryd?

Ar hyn o bryd yn y DU mae Deddf Diogelu Data 1998 yn nodi sut y gall cwmnïau, llywodraeth a sefydliadau eraill ddefnyddio'ch gwybodaeth bersonol. Bydd y GDPR yn disodli Deddf Diogelu Data 1998 pan ddaw i rym ar 25 Mai 2018.

A fydd y GDPR yn dal i fod yn berthnasol i'r DU ar ôl Brexit?

Mae'r DU yn y broses o weithredu Mesur Diogelu Data newydd sydd, yn bennaf, yn cynnwys holl ddarpariaethau'r GDPR. Mae yna rai gwahaniaethau bach, ond unwaith y bydd y Mesur wedi pasio drwy'r Senedd ac yn dod yn Ddeddf, bydd cyfraith y DU ar ddiogelu data yn debyg iawn i rheoliadau’r GDPR.

Felly beth sy'n newydd?

Mae hawliau newydd ac estynedig ar gyfer unigolion mewn perthynas â'r data personol y mae sefydliad yn ei chadw amdanynt, er enghraifft, hawl estynedig i gael mynediad i ddata a hawl newydd o ran symudadwyedd data. Gallwch gael rhagor o wybodaeth am yr hawliau hyn gan Swyddfa'r Comisiynydd Gwybodaeth: www.ico.org.uk neu drwy eu llinell gymorth ffôn (0303 123 1113).

Yn ogystal, bydd gan sefydliadau rwymedigaeth ar gyfer rheoli data yn well a chyflwynir cyfundrefn ddirwyon newydd i'w ddefnyddio pan ddarganfyddir bod sefydliad yn torri'r GDPR.

Beth yw prif egwyddorion y GDPR?

Mae'r GDPR yn nodi bod rhaid i ddata personol fod:

• wedi'i brosesu yn gyfreithlon, yn deg ac mewn modd tryloyw
• wedi ei gasglu at ddibenion penodol, eglur a dilys yn unig
• yn ddigonol, yn berthnasol ac yn gyfyngedig i'r hyn sy'n angenrheidiol
• yn gywir ac yn gyfoes
• wedi ei gadw am yr amser absoliwt sy'n angenrheidiol a dim mwyach
• wedi'i brosesu mewn modd sy'n sicrhau diogelwch priodol y data personol.

Beth yw data personol?

Mae'r GDPR yn berthnasol i 'ddata personol' sy'n golygu unrhyw wybodaeth sy'n ymwneud â pherson adnabyddadwy y gellir ei adnabod ynuniongyrchol neu'n anuniongyrchol yn benodol trwy gyfeirio at dynodwr.

Mae'r diffiniad hwn yn darparu ar gyfer ystod eang o ddynodwyr personol i gyfansoddi data personol, gan gynnwys enw, rhif adnabod, data lleoliad neu ddynodwr ar-lein, sy'n adlewyrchu newidiadau mewn technoleg a'r modd y mae sefydliadau'n casglu gwybodaeth am bobl.

Sut fydd GDPR yn effeithio ar aelodau'r CPLlL?

Bydd gan eich cronfa CPLlL eisoes weithdrefnau yn eu lle sy'n cydymffurfio ag egwyddorion diogelu data tebyg o dan Ddeddf Diogelu Data 1998. Bydd y rheoliadau newydd yn atgyfnerthu'r gofynion presennol hyn, ac mae'n annhebygol y bydd aelodau'r CPLlL yn sylwi ar newid yn y gwasanaeth a dderbynnir gan eu cronfa CPLlL.

Sut y bydd aelodau'n gwybod bod eu cronfa CPLlL yn cydymffurfio â GDPR?

Bydd gofyn i bob cronfa CPLlL ddiweddaru eu rhybudd preifatrwydd yn unol â'r gofynion newydd sy'n nodi, ymhlith pethau eraill, pam bod data penodol yn cael ei gadw, y rheswm dros brosesu'r data, pwy maent yn rhannu'r data gyda a'r cyfnod y mae'r data yn cael ei gadw. O fewn yr hysbysiad, bydd aelodau hefyd yn cael gwybodaeth ychwanegol am eu hawliau o dan y ddeddfwriaeth.

Pam mae cronfeydd CPLlL yn dal data personol?

Mae cronfeydd CPLlL angen wahanol ddarnau o ddata personol a ddarperir gan yr aelod unigol a'u cyflogwr er mwyn gweinyddu'r cynllun pensiwn. Mae'r data hwn yn cynnwys, ond heb eu cyfyngu i, enwau, cyfeiriadau, rhifau Yswiriant Gwladol a manylion cyflog, sydd eu hangen i gynnal cofnodion y cynllun a chyfrifo buddion aelodau.

Pwy y mae cronfeydd CPLlL yn rhannu data personol â nhw?

Ar adegau, mae'n ofynnol i gronfeydd CPLlL rannu data personol gyda thrydydd parti er mwyn cwrdd â gofynion rheoliadol a llywodraethol, i gasglu'r wybodaeth angenrheidiol ar gyfer talu buddion aelodau'n fanwl gywir a sicrhau bod rhwymedigaethau'r cynllun yn cael eu bodloni. Bydd rhybudd preifatrwydd pob cronfa yn nodi pwy y maent yn rhannu data â nhw; mae'n debygol y bydd hyn yn cynnwys cyrff megis cyflogwyr y cynllun, actiwarï’r gronfa, archwilwyr a Cyllid a Thollau EM.

A all aelodau CPLlL ofyn am gael dileu eu data?

Mae'r GDPR yn darparu'r 'hawl i gael ei anghofio' mewn rhai amgylchiadau cyfyngedig. Fodd bynnag, mewn termau ymarferol, cyfyng yw arfer yr hawl hwn mewn perthynas â chronfeydd CPLlL gan y gall dileu data atal y gronfa rhag cyflawni ei ddyletswyddau. Mae'n ofynnol i gronfeydd CPLlL brosesu data personol i gydymffurfio â rhwymedigaethau cyfreithiol dan ddeddfwriaeth pensiwn, felly, mae'n annhebygol y bydd yr 'hawl i gael ei anghofio' yn berthnasol i ddata a gedwir gan gronfeydd CPLlL

Beth sy'n digwydd os oes toriad data?

Mae achosion o dorri data yn ddigwyddiad prin o fewn cronfeydd CPLlL. Fodd bynnag, pe bai toriad diogelwch yn ymwneud â data personol aelod yn digwydd sy'n debygol o arwain at berygl i hawliau a rhyddid yr aelod hwnnw, bydd rhwymedigaeth uniongyrchol o dan y GDPR ar gyfer y gronfa i hysbysu'r Swyddfa Comisiynwyr Gwybodaeth o fewn 72 awr i'r toriad yn digwydd.