RhDDC (Canllaw i’r Rheoliad Diogelu Data Cyffredinol) ar gyfer Landlordiaid ac Asiantau

Daw’r Rheoliad Diogelu Data Cyffredinol i rym ar 25 Mai 2018.

Isod ceir trosolwg byr o gyfrifoldebau landlordiaid ac asiantau o dan y RhDDC, ond dylai landlordiaid ac asiantau archwilio eu gweithdrefnau diogelu data eu hunain i sicrhau eu bod yn cydymffurfio. I gael mwy o eglurhad, dylid ceisio cyngor o wefan y Comisiynydd Gwybodaeth: www.ico.org.uk/

Sylwer mai bwriad y canllaw hwn yw canolbwyntio ar drefniadau rheoli eiddo yr ymgymerir â nhw gan landlordiaid ac asiantau o ran diogelu tenantiaid, nid y cyfrifoldeb cyffredinol sydd ynghlwm wrth redeg busnes a chyflogi staff. Dylid ceisio cyngor ychwanegol ar wahân ar y maes hwn, os oes angen.

 

Prif Negeseuon

Gweithred

Gwiriwch oes angen i chi gofrestru

Defnyddiwch y Pecyn Cymorth Hunanasesu Cofrestriad i weld a oes angen i chi gofrestru gyda SCG.

Diogelwch y data sydd gennych

Mae dyseltswydd arnoch i sicrhau fod y data sydd gennych yn cael ei gadw'n ddiogel - cyfeiriwch at ganllawiau SCG am ddiogelwch.

Cadwch dystiolaeth

Sicrhewch fod gennych ddigon o dystiolaeth i ddangos bod eich tenantiaid wedi darllen a deall pa ddata a gaiff ei gasglu a sut caiff ei ddefnyddio.

Dileu data pan nad oes ei angen

Os nad oes angen neu reswm cyfreithlon i chi gadw’r data, dylech ei ddileu yn ddiogel.

Defnyddio data at y diben gwreiddiol cafodd ei gasglu yn unig

Rhaid bod gennych sail gyfreithiol ar gyfer casglu, storio a defnyddio’r data.

 

1. Cyflwyniad i’r Rheoliad Diogelu Data Cyffredinol

Mae RhDDC (Rheoliad (UE) 2016/679) yn set o reolau safonol sydd ar waith ar draws yr Undeb Ewropeaidd ar gyfer trin a storio gwybodaeth bersonol yn yr UE. Bydd y rheoliad yn berthnasol i unrhyw un sy’n rheoli gwybodaeth dinesydd o’r UE neu sy’n ei phrosesu ar ran y person hwnnw, hyd yn oed os yw prosesydd neu reolwr y data y tu allan i’r UE.

Nod y RhDDC yw dychwelyd rheolaeth i ddinasyddion a phreswylwyr ar eu data personol a symleiddio’r amgylchedd rheoliadol trwy uno’r rheoliad o fewn yr UE. Pan ddaw’r RhDDC i rym, bydd yn disodli Cyfarwyddeb Diogelu Data 1998.

Swyddfa’r Comisiynydd Gwybodaeth (SCG) yw’r awdurdod a benodwyd i gynnal hawliau gwybodaeth a phreifatrwydd data i unigolion yn y DU. Er mwyn helpu unigolion a sefydliadau i ddeall eu hawliau/y gofynion arnynt o dan y RhDDC, mae wedi llunio canllaw manwl y gellir ei ddarllen yma.

2. Sut mae hyn yn effeithio ar Landlordiaid?

Mae landlordiaid yn casglu ac yn trin data personol tenantiaid fel rhan o’r broses osod eiddo ac felly cânt eu hystyried yn rheolwyr data yn ôl y gyfraith. Gallant hefyd gasglu gwybodaeth am y staff maent yn eu cyflogi.

Mae’n rhaid i reolwyr data (landlordiaid yn yr achos hwn) sicrhau bod yr wybodaeth am denantiaid a staff sydd ganddynt yn cael ei chadw’n ddiogel a’i defnyddio at y dibenion sy’n cydymffurfio â’r sail gyfreithiol yn unig.

Mae rhai landlordiaid yn cyflogi contractwyr i’w cynorthwyo wrth redeg eu busnesau. Enghraifft o hyn fyddai asiant i ymgymryd â’r gweithgareddau gosod a rheoli ar eu heiddo, neu i weithio gyda sefydliadau trydydd parti eraill y mae angen manylion tenantiaid arnynt yn ystod cytundeb tenantiaeth (h.y. gwirio geirdaon, gwiriadau credyd). Yn yr amgylchiadau hyn, mae’n bwysig gofyn am dystiolaeth bod y contractwr/asiant yn cydymffurfio â’r RhDDC cyn defnyddio eu gwasanaethau.

O ran perthnasoedd presennol, dylai landlordiaid wirio gyda chontractwyr presennol a thrafod eu cynlluniau i sicrhau eu bod nhw’n cydymffurfio. Gallai tystiolaeth fod yn un o’r dogfennau canlynol:

  • Polisi rheoli data

  • Polisi preifatrwydd

  • Polisi prosesu data

  • Cytundebau preifatrwydd

Mae gan reolwyr data gyfrifoldeb i sicrhau bod sail gyfreithiol ar gyfer prosesu data unigolyn a bod hon yn cael ei nodi. Yr arfer gorau yw rhoi Hysbysiad Preifatrwydd i bob tenant, y rhai cyfredol a darpar denantiaid. Ceir mwy o wybodaeth am hysbysiadau preifatrwydd isod yn adran 8.

Mae gan SCG amrywiaeth o adnoddau i gynorthwyo landlordiaid i wneud hyn yn gywir. Mae’r canlynol yn arbennig o berthnasol:

  • Rhestr wirio ar gyfer rheolwyr data i sicrhau eu bod yn deall ac yn asesu’r lefel uchel o gydymffurfio â’r RhDDC y disgwylir ohonynt, ar gael yma. 

3. Sut mae hyn yn effeithio ar Asiantau?

Bydd y rhan fwyaf o asiantau’n gweithredu fel proseswyr data pan fyddant yn gweithredu ar ran landlordiaid. Hefyd gallant gasglu gwybodaeth am staff a gyflogir ganddynt a/neu sy’n berchen ar eiddo eu hunain ac, yn yr amgylchiadau hyn, byddant yn cael eu hystyried yn rheolwyr data a dylent ddilyn y cyngor priodol.

Mae’r RhDDC yn gosod rhwymedigaethau cyfreithiol ar brosesydd data megis y gofyniad i gynnal cofnodion o ddata personol a gweithgareddau prosesu. Mae gan y prosesydd data yr atebolrwydd cyfreithiol am dramgwydd.

I sicrhau arfer gorau wrth gydymffurfio â’r RhDDC, dylai asiantau gyflwyno tystiolaeth i’r landlord sy’n dangos eu bod wedi cydymffurfio â’r ddeddfwriaeth e.e. polisi preifatrwydd, hysbysiadau preifatrwydd a phrosesau preifatrwydd.

Mae gan SCG amrywiaeth o adnoddau i gynorthwyo landlordiaid i wneud hyn yn gywir. Mae’r canlynol yn arbennig o berthnasol:

  • Rhestr wirio ar gyfer proseswyr data i sicrhau eu bod yn deall ac yn asesu’r lefel uchel o gydymffurfio â’r RhDDC a ddisgwylir ohonynt, ar gael yma.

  • Rhestr wirio ar gyfer rheolwyr data i sicrhau eu bod yn deall ac yn asesu’r lefel uchel o gydymffurfio â’r RhDDC y disgwylir ohonynt, ar gael yma. 

4. Y gwahaniaeth rhwng Proseswyr Data a Rheolwyr Data

Mae ‘rheolwr’ data yn pennu dibenion a dulliau prosesu data personol.

Mae ‘prosesydd’ data yn gyfrifol am brosesu data personol ar ran rheolwr.

Mae’r RhDDC yn gosod rhwymedigaethau cyfreithiol ar brosesydd data megis y gofyniad i gynnal cofnodion o ddata personol a gweithgareddau prosesu. Mae gan y prosesydd data yr atebolrwydd cyfreithiol am dramgwydd.

Fodd bynnag, nid yw rheolwr data heb rwymedigaethau wrth ymwneud â phrosesydd data – mae’r RhDDC yn gosod rhagor o rwymedigaethau ar y rheolwr data i sicrhau bod contractau gyda phroseswyr yn cydymffurfio â’r RhDDC.

I sicrhau bod data personol yn cael ei gadw mor ddiogel â phosib ac i leihau’r perygl o dramgwydd posib, yr arfer gorau yw i reolwyr data ofyn i unrhyw brosesydd data cyfredol neu ddarpar brosesydd am wybodaeth i ddangos eu bod yn cydymffurfio â’r RhDDC. Er enghraifft, dylai landlord (rheolwr) ofyn bob amser i weld tystiolaeth o weithgareddau a gweithdrefnau prosesu asiant (prosesydd) er mwyn sicrhau eu bod yn cydymffurfio â’r RhDDC h.y. polisi preifatrwydd, hysbysiadau preifatrwydd a phrosesau preifatrwydd.

5. Oes Rhaid i Bob Rheolwr Data Gofrestru?

Un o brif ofynion y RhDDC yw i reolwyr data sy’n casglu a storio data mewn ffordd benodol gofrestru gyda Swyddfa’r Comisiynydd Gwybodaeth (SCG).

Mae’n rhaid i bob landlord gydymffurfio â’r RhDDC, ac y ffordd gyflymaf a hawsaf o bennu a oes rhaid i chi gofrestru gyda SCG yw cwblhau ei hunanwerthusiad defnyddiol yma. Mae’r asesiad yn cymryd 5 munud i’w gwblhau ac yn gofyn cwestiynau penodol am sut rydych yn casglu ac yn storio data personol er mwyn pennu a oes rhaid i chi gofrestru neu beidio.

6. Pa ddata y mae Landlordiaid ac Asiantau’n ei Gasglu/Brosesu?

Mae’r tabl canlynol yn rhoi trosolwg o’r data mwyaf cyffredin y bydd landlordiaid ac asiantau’n ei gasglu fel rhan o’r broses osod.

Yr arfer gorau yw i landlordiaid ac asiantau archwilio’r

Data a Gesglir

Dull storio data

Manylion cyswllt tenantiaid
e.e. rhif ffôn, cyfeiriad e-bost, cyfeiriad post blaenorol

  • Systemau cyfrifiadurol

  • Teclynnau symudol

  • Ffeiliau copi caled

  • Storio ar y cwmwl
Manylion cyswllt y rhai sy’n rhoi geirdaon
e.e. rhif ffôn, cyfeiriad e-bost, cyfeiriad post blaenorol
Y data sy’n angenrheidiol i gynnal gwiriadau credyd a chefndir
e.e. cerdyn adnabod, pasbort, rhif YG

Manylion talu
e.e. manylion banc ar gyfer debyd uniongyrchol, sieciau

Manylion cyswllt mewn argyfwng
e.e. perthynas agosaf
           

Yr hawl i wirio rhenti
h.y. hawl gyfreithiol i rentu/breswylio yn y DU

7. Beth yw Hysbysiadau Preifatrwydd?

Mae’r RhDDC yn rhoi’r hawl i wrthrychau data (e.e. tenantiaid) gael eu hysbysu am sut caiff yr wybodaeth amdanynt ei defnyddio. Felly, dylai rheolwyr data gyflwyno Hysbysiad Preifatrwydd iddynt sy’n cynnwys yr elfennau canlynol:

  1. Y math o ddata personol i’w gasglu

  2. Y sail gyfreithiol ar gyfer casglu’r data (e.e. cyflawni contract)

  3. Sut caiff y data ei ddefnyddio

  4. Pa mor hir caiff y data ei gadw

  5. Manylion unrhyw broseswyr trydydd parti y caiff y data ei rannu â nhw.

Er mwyn profi’n llwyr bod gwrthrychau data wedi cael eu hysbysu’n llawn o sut bydd y data amdanynt yn cael ei ddefnyddio, dylai rheolwyr data:

  1. Gyflwyno hysbysiad preifatrwydd i’r tenant

  2. Sicrhau bod y tenant yn darllen ac yn llofnodi’r hysbysiad preifatrwydd

  3. Cynnwys adran ‘breifatrwydd’ yn y cytundeb tenantiaeth sy’n nodi bod y tenant wedi derbyn hysbysiad preifatrwydd sy’n esbonio sut bydd y data amdano’n cael ei ddefnyddio a bod y tenant wedi deall y telerau.

8. Beth yw goblygiadau methu cydymffurfio?

Mae’r cosbau am beidio â chydymffurfio â’r RhDDC yn amrywio yn ôl math y tramgwydd, ond caniateir dirwyon sy’n gyfwerth â hyd at €20,000,000 (neu 4 y cant o’r trosiant byd-eang, p’un bynnag sydd fwyaf).

Er bod y rhan fwyaf o landlordiaid preifat yn hynod annhebygol o dderbyn dirwyon gwerth miliynau o ewros, mae cosb ariannol ‘gymesur’ yn bosibl.

Yr hyn sy’n fwy pwysig i landlordiaid ac asiantau i’w gofio yw bod dyletswydd arnynt i adrodd am unrhyw dramgwydd a amheuir. Gallwch adrodd unrhyw dramgwydd i’r SCG drwy alw 03031 231113, neu drwy’r wefan yma.

9. Enghreifftiau bywyd go iawn

Mae’r senarios canlynol yn helpu i roi cyd-destun i’r RhDDC a dangos gwir werth rhoi’r mesur diogelu hwn ar waith i landlordiaid, asiantau a thenantiaid:

Senario 1: Mae landlord wedi colli’r ffôn symudol, neu mae rhywun wedi’i ddwyn, lle mae’n storio’r holl ddata am ei denantiaid. Mae teclyn y landlord wedi’i ddiogelu gan gyfrinair ac mae’r landlord wedi llwyddo i analluogi’r ffôn. Beth ddylai’r landlord ei wneud nesaf?

Os gallai colli’r data ar y teclyn beryglu hawliau a rhyddid y tenantiaid, mae’n ddyletswydd ar y rheolwr data (landlord neu asiant) i adrodd am y tramgwydd o fewn 72 awr i ddod yn ymwybodol ohono.   

Nid yw’n hawdd asesu bob tro a yw hawliau a rhyddid rhywun wedi cael eu peryglu. Y cam gweithredu gorau fyddai i’r rheolwr data gysylltu â thîm tramgwyddau SCG, beth bynnag yw difrifoldeb y tramgwydd posib, rhag ofn. Gellir adrodd am dramgwydd i SCG trwy ffonio 03031 231113 neu ar y wefan yma.

Senario 2: Mae gan landlord restr gynhwysfawr o fanylion cyswllt cyn-denantiaid. Mae’r landlord yn sefydlu cwmni atgyweiriadau cartref newydd ac yn penderfynu mai’r cyn-denantiaid yw’r gynulleidfa berffaith i’w thargedu er mwyn marchnata ei fusnes. Ydy hyn yn gyfreithlon?

Na fyddai, byddai hynny’n anghyfreithlon oherwydd byddai’r data’n cael ei defnyddio ar sail wahanol i’r hyn a bennwyd yn wreiddiol. Os bydd y landlord yn yr enghraifft hon am farchnata ei fusnes newydd i’r gynulleidfa hon, byddai angen iddo ddychwelyd i’r cam cyntaf a cheisio sail gyfreithiol ar gyfer defnyddio’r data at y diben hwnnw trwy hysbysiad preifatrwydd a fyddai, yn yr achos hwn, yn gam cadarnhaol (dewis bod i mewn) gyda chaniatâd.

Senario 3: Yn ddiweddar mae landlord wedi gwerthu’r holl eiddo yn ei phortffolio; fodd bynnag, mae ganddi o hyd fanylion cyswllt ei chyn-denantiaid yn ei ffôn symudol ac mewn cabinet ffeilio. Beth dylai hi ei wneud gyda’r wybodaeth hon?

Nid yw Deddf Diogelu Data 1998 na’r RhDDC yn pennu isafswm/uchafswm cyfnod ar gyfer cadw data personol. Fodd bynnag, dylai rheolwr data ofyn y cwestiynau allweddol canlynol:

  1. A oes sail gyfreithiol gennyf dros gadw’r wybodaeth hon?

  2. A oes gofyniad cyfreithiol i mi gadw’r wybodaeth hon? A fyddwn i’n euog o dorri deddf arall petawn i’n dileu’r wybodaeth hon?
    E.e. dylid cadw data ariannol am 9 mlynedd.

Os yw’r ateb yn negyddol i’r ddau gwestiwn uchod, dylai’r landlord ddileu’r wybodaeth mewn modd diogel.

Senario 4: Mae 3 pherson gwahanol wedi trefnu ymweld ag eiddo. Er mwyn trefnu’r ymweliadau, mae’r darpar denantiaid wedi rhoi eu rhifau ffôn iddo. Mae’r landlord yn cytuno i’r denantiaeth gydag un o’r tri. Beth y dylai ei wneud gyda manylion cyswllt y ddau arall?

Cymerwyd y wybodaeth (rhif ffôn cyswllt yn yr enghraifft hon) yn unol â’r sail gyfreithiol ar gyfer sefydlu contract. Unwaith bod y landlord wedi sefydlu’r contract gydag un o’r tri darpar denant, caiff y sail gyfreithiol ei diddymu ar gyfer y ddau arall, sy’n golygu y dylid dileu’r data mewn modd diogel.

10. Useful links

Gwefan Swyddfa’r Comisiynydd Gwybodaeth

Pecyn Cymorth Hunanasesu ar gyfer Cofrestru - pecyn cymorth hwylus i bennu’n gyflym a oes rhaid i ddefnyddiwr gofrestru gyda SCG neu beidio.

Canllaw i’r Rheoliad Diogelu Data Cyffredinol - yn rhoi trosolwg manwl o’r RhDDC. 

Rhestr Wirio ar gyfer Proseswyr Data - yn helpu proseswyr data archwilio eu perfformiad o ran cydymffurfio ag arfer gorau’r RhDDC.

Rhestr Wirio ar gyfer Proseswyr Data - yn helpu proseswyr data i archwilio eu perfformiad o ran cydymffurfio ag arfer gorau’r RhDDC.

Adrodd am dramgwydd data - canllaw i’r hyn sy’n cael ei ystyried yn dramgwydd data a sut i adrodd am dramgwydd o’r fath.