Canllawiau ar gymhwyso Erthygl 36(4) o'r Rheoliad Cyffredinol ar Ddiogelu Data (UK GDPR)
Diweddarwyd 29 Tachwedd 2023
息 Hawlfraint y Goron 2023
Mae'r cyhoeddiad hwn wedi'i drwyddedu o dan delerau Trwydded Agored y Llywodraeth v3.0 ac eithrio ble nodir yn wahanol. I weld y drwydded hon, ewch i neu ysgrifennwch at y T樽m Polisi Gwybodaeth, Yr Archifau Gwladol, Kew, Llundain TW9 4DU, neu anfonwch e-bost at: psi@nationalarchives.gov.uk.
Lle byddwn wedi nodi unrhyw wybodaeth am hawlfraint trydydd parti, bydd angen i chi gael caniat但d gan ddeiliaid yr hawlfraint dan sylw.
Mae'r cyhoeddiad hwn ar gael yn /government/publications/guidance-on-the-application-of-article-364-of-the-general-data-protection-regulation-gdpr/e8512834-3c4b-4e15-b864-bb49a1069181
1. Manylion cyswllt
Maer ddogfen hon yn darparu canllawiau ffurfiol i Adrannaur Llywodraeth ac i gyrff perthnasol y sector cyhoeddus syn ofynnol, o dan Erthygl 36(4) or Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) i ymgynghori 但 Swyddfar Comisiynydd Gwybodaeth (ICO) ar gynigion polisi ar gyfer mesurau deddfwriaethol neu statudol yn ymwneud 但 phrosesu data personol
Gellir anfon ymholiadau am y ddogfen hon at:
Department for Science, Innovation and Technology
Data Protection Policy
22 Whitehall,
London,
SW1A 2EG
E-bost: dataprotection@dsit.gov.uk.
Rhowch deitl eich e-bost ymholiad Erthygl 36(4) GDPR y DU i sicrhau bod eich neges yn cael ei hanfon ymlaen at y t樽m perthnasol.
Cwynion neu sylwadau
Os oes gennych unrhyw gwynion neu sylwadau am y canllawiau hyn, dylech gysylltu 但r T樽m Diogelu Data yn y cyfeiriad uchod.
2. Cefndir a throsolwg
Rhagarweiniad
2.1. Rheoliad gan yr UE ywr Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) ai bwrpas yw gwarchod hawliau gwybodaeth pobl. Maen uniongyrchol berthnasol i holl wledydd yr UE ac wedii ategu yng nghyfraith y Deyrnas Unedig gan Ddeddf Diogelu Data 2018 (DPA 2018). Daeth y GDPR a DPA 2018 i rym ar 25 Mai 2018, gan gyflwyno fframwaith rheoleiddio mwy diweddar ar gyfer diogelu data yn y DU, gan gynnwys nifer o ofynion newydd ar gyfer rheolyddion data.
2.2. Maer ddogfen hon yn darparu canllawiau i Adrannaur Llywodraeth ac i gyrff perthnasol y sector cyhoeddus ar eu cyfrifoldebau o dan Erthygl 36(4) or GDPR, a beth sydd angen iddynt ei wneud i gwrdd 但 gofynion yr Erthygl hon.
2.3. Ategir y canllawiau hyn gan Ffurflen Ymholiad Erthygl 36(4), y dylid ei defnyddio i gysylltu 但r ICO yn y lle cyntaf er mwyn ymgynghori o dan Erthygl 36(4).
Trosolwg ar Erthygl 36(4)
2.4. Mae Erthygl 36(4) yn un or darpariaethau yn y GDPR syn ei gwneud yn benodol ofynnol i Lywodraeth y DU ymgynghori ag Awdurdod Diogelu Datar DU (yr ICO) wrth ddatblygu cynigion polisin ymwneud 但 phrosesu data personol.
2.5. Dyma y mae Erthygl 36(4) yn ei ddweud:
Rhaid i Wledydd yr Undeb ymgynghori 但r awdurdod goruchwylio wrth baratoi cynnig ar gyfer mesur deddfwriaethol sydd iw fabwysiadu gan senedd genedlaethol, neu wrth baratoi mesur rheoleiddio ar sail mesur deddfwriaethol or fath, syn ymwneud 但 phrosesu.
2.6. Rhoddir mwy o fanylion yng Nghronicliad 96, syn nodi: Dylai ymgynghori 但r awdurdod goruchwylio hefyd ddigwydd wrth baratoi mesur deddfwriaethol neu fesur rheoleiddio syn darparu ar gyfer prosesu data personol, er mwyn sicrhau bod y prosesu sydd mewn golwg yn cydymffurfio 但r Rheoliad hwn ac yn benodol er mwyn lliniarur risg ar gyfer gwrthrych y data.
2.7. Mae hyn yn gyfreithiol ofynnol ar gyfer pob sefydliad perthnasol yn y sector cyhoeddus syn gyfrifol am fesurau deddfwriaethol neu statudol, a byddai methu ag ymgynghorin ddigonol 但r ICO yn torri rheoliad y GDPR.
Cwmpas a chymhwysiad
2.8. Maen ofynnol i bob swyddog sector cyhoeddus (gan gynnwys rhai mewn Cyrff Hyd Braich ac yn Adrannaur Llywodraeth) syn datblygu cynigion deddfwriaethol syn ymwneud, gofyn neun darparu ar gyfer prosesu data, gydymffurfio 但r ddarpariaeth hon.
2.9. Maen ofynnol ymgynghori 但r ICO ar bob cynnig polisi deddfwriaethol perthnasol syn cael ei fabwysiadu gan senedd genedlaethol. Mae hyn yn cynnwys:
deddfwriaeth sylfaenol ac is-ddeddfwriaeth
mesurau rheoleiddio (fel cyfarwyddiadau a gorchmynion) a wneir o dan ddeddfwriaeth sylfaenol neu is-ddeddfwriaeth
codau ymarfer statudol a
canllawiau statudol
2.10. Mae Erthygl 36(4) yn uniongyrchol berthnasol ir DU, felly mae gofynion y ddarpariaeth hon hefyd yn berthnasol i fesurau deddfwriaeth a statudol syn cael eu mabwysiadu gan gyrff deddfur gwledydd datganoledig.
2.11. Nid ywn gyfreithiol ofynnol o dan Erthygl 36(4), ynddi ei hun, i Lywodraeth ar sector cyhoeddus ehangach ymgynghori 但r ICO ar gynigion polisin ymwneud 但 data personol na fydd ag allbwn deddfwriaethol neu statudol. Fodd bynnag, gan ddibynnu ar gynnwys y cynigion hyn, gallai fod yn beth doeth i arweinwyr polisi ymgynghori 但r ICO y tu allan i ofynion Erthygl 36(4).
2.12. Nid ywn benodol ofynnol ychwaith o dan Erthygl 36(4) ymgynghori 但r cyhoedd neu 但 rhanddeiliaid ar gynigion polisin ymwneud 但 data personol.
2.13. O dan ddarpariaeth ar wah但n yn Erthygl 36 (Erthygl 36(1)), maen ofynnol ymgynghori 但r ICO pan fydd asesiad or effaith ar ddiogelu data (DPIA) wedi awgrymu y byddair prosesun creu risg uchel pe na bair rheolydd datan cymryd mesurau i liniarur risg. Maer gofyniad hwn yn berthnasol pun ai ywr gweithgaredd prosesun gofyn cael deddfwriaeth newydd neu beidio. Mae canllawiau ar asesiadau DPIA a phryd y maen ofynnol ymgynghori 但r ICO ar .
Mathau o weithgareddau prosesu
2.14. Diffinnir prosesu data gan y GDPR o dan Erthygl 4(2) fel: unrhyw weithgaredd neu gyfres o weithgareddau a gyflawnir ar ddata personol neu setiau o ddata personol, pun ain drwy ddull awtomataidd neu beidio, fel casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu drwy drosglwyddo, dosbarthu neu drefnu bod data ar gael fel arall, alinio neu gyfuno, cyfyngu, dileu neu ddinistrio data
2.15. Mae data personol yn cynnwys gwybodaeth am berson bywn unig, rhywun y gellir eu hadnabod neu y mae modd eu hadnabod or wybodaeth dan sylwn unig; neu y gellir eu hadnabod or wybodaeth dan sylw mewn cyfuniad 但 gwybodaeth arall. Er enghraifft, gall hyn gynnwys: enw, manylion banc, cyfeiriad, cyflog neu luniau o unigolyn. Ceir canllawiau pellach ar y diffiniad o ddata personol ar .
2.16. Mewn gwirionedd, bydd unrhyw gynnig yn creu mesur deddfwriaethol neu statudol syn cyfeirion uniongyrchol a phenodol at brosesu data personol yn dod o fewn cwmpas y ddarpariaeth hon. Er enghraifft:
Cyflwyno gofyniad newydd i gasglu data personol
Gorfodaeth newydd neu ddiwygiedig i rannu setiau data sydd eisoes yn bodoli
Gofynion ychwanegol i ddatgelu gwybodaeth bersonol
Creu cronfa ddata i gadw enwau a chyfeiriadau pobl ynddi
2.17. Gall prosesu data yn y cyd-destun hwn fod naill ai drwy ddull awtomataidd neu ddi-awtomataidd (dull llaw) (fel system ffeilio ar gyfer cofnodion papur, fel y diffinnir hynny o dan Erthygl 2(1) or GDPR).
PEgwyddorion ymgynghori
2.18. Er mwyn cwrdd yn effeithiol ag egwyddorion y gofyniad hwn, dylid ymgynghori 但r ICO ar bwynt ffurfiannol yn natblygiad y cynigion polisi, i sicrhau bod cyfle i roi sylw dyledus i fewnbwn yr ICO cyn drafftior cynigion terfynol. Lle bo hynnyn briodol, dylid ymgynghorin unol ag egwyddorion ymgynghori Swyddfar Cabinet. Maen bwysig bod arweinwyr polisi, ar y cyd 但 Swyddog Diogelu Data eu sefydliad, yn ymgysylltun gynnar er mwyn cadw at ysbryd y gofyniad hwn. Maer gofyniad i ymgynghorin un parhaus, a dylai arweinwyr polisi barhau i ddiweddarur ICO drwy gydol y broses o ddatblygur cynigion polisi, yn enwedig lle bwriedir gwneud newidiadau polisi sylweddol yn dilyn yr ymgynghori cychwynnol. Bydd unrhyw ymateb gan yr ICO o ganlyniad i ymgynghori o dan Erthygl 36(4) yn unol 但 statws y corff fel rheoleiddiwr annibynnol.
2.19. Er nad oes amserlen benodol ar gyfer ymgynghori, yr argymhelliad yw bod arweinwyr polisin caniat叩u o leiaf 12 wythnos or cyswllt cychwynnol 但r ICO tan y bydd eu cynigion polisin cael eu drafftion derfynol. Gallai methu 但 chaniat叩u digon o amser i ymgynghori achosi oedi diangen cyn rhoi mesurau deddfwriaethol gerbron y Senedd, neu cyn cyhoeddi codau ymddygiad neu ganllawiau statudol, pe bai angen eu diwygio ar y funud olaf.
2.20. Yn unol 但r egwyddorion arferol ar gyfer ymgynghori, nid oes raid ir Llywodraeth weithredu ar unrhyw ymateb gan yr ICO ir broses ymgynghori, neu ar unrhyw gyngor gan yr ICO, ond rhaid ystyried barn yr ICO.
Polisi diogelu data ar 担l gadael yr UE
2.21. Or diwrnod gadael (ar hyn o bryd 29 Mawrth 2019, oni bai y caiff y Cytundeb Gadael ei ddiwygio), bydd y GDPR yn aros yng nghyfraith y DU o dan Ddeddf (Gadael) yr Undeb Ewropeaidd 2018. Bydd rheoliadau a wnaed o dan y Ddeddf honnon domestigeiddio y GDPR fel y bydd yn parhau i gael ei weithredu yng nghyd-destun y DU, ond bydd yr egwyddorion sylfaenol, gan gynnwys gofyniad Erthygl 36(4) yn aros yr un fath. Felly bydd yn gyfreithiol ofynnol o hyd i Adrannaur Llywodraeth a chyrff cyhoeddus perthnasol ymgynghori, o fewn amserlen briodol, 但r ICO ar fesurau deddfwriaethol a statudol yn ymwneud 但 phrosesu data.
2.22. Gallwch anfon unrhyw ymholiad ar y mater hwn at D樽m Diogelu Datar DCMS yn y cyfeiriad uchod.
3. Y broses ymgynghori
3.1. Ffurflen Ymholiad Erthygl 36(4) wedii dylunio i gasglur wybodaeth gychwynnol sydd ei hangen ar yr ICO i asesu a oes angen ymgynghorin ffurfiol ar gynigion polisi o dan Erthygl 36(4).
3.2. Dylai arweinwyr polisi lenwir ffurflen, drwy ymgynghori 但 Swyddog Diogelu Data eu sefydliad, ac e-bostior ffurflen ir ICO yn legcon@ico.org.uk i gychwyn y broses ymgynghori.
3.3. Dylair ICO anfon e-bost yn cydnabod derbyn y ffurflen o fewn 48 awr iw chyflwyno. Bydd yr ICO ynan cysylltu eto o fewn pythefnos i gadarnhau a ywr ICO wedi canfod unrhyw faterion rhagarweiniol or wybodaeth gychwynnol a gawsant, ac yn cadarnhau a oes angen ymgynghori ymhellach.