David Teague yn rhannu cyngor ymarferol gan Swyddfa’r Comisiynydd Gwybodaeth (ICO) i helpu sefydliadau tai i ddiogelu gwybodaeth bersonol preswylwyr a chadw eu systemau’n ddiogel.
Er mwyn darparu llety, gwasanaethau a chymorth i breswylwyr, rhaid i bob sefydliad tai brosesu gwybodaeth bersonol. Gall hyn fod yn unrhyw beth o fanylion cyswllt rhywun i wybodaeth sensitif fel eu cofnodion meddygol. Mae gan unrhyw un sy’n prosesu gwybodaeth bersonol gyfrifoldeb i’w diogelu o dan y gyfraith ar ddiogelu data. Mae hyn yn cynnwys ei gadw’n ddiogel, sicrhau ei fod yn gywir a bod yn dryloyw gyda phobl ynghylch sut rydych yn bwriadu ei ddefnyddio.
Fel rheoleiddiwr diogelu data’r DU, rydym am gefnogi pob sefydliad yn y sector tai i drin gwybodaeth bersonol yn gyfrifol ac yn gyfreithlon. Gall blaenoriaethu camau sylfaenol, megis hyfforddi staff, gwirio cofnodion ddwywaith a chyfyngu ar fynediad helpu i atal bylchiadau data personol cyn iddynt ddigwydd, gan leihau’r risg o niwed i breswylwyr. Gall diogelu gwybodaeth yn dda hefyd leihau’r risg o ymosodiadau seiber ac helpu i ddiogelu’r wybodaeth bersonol sydd gennych.
Rydym wedi aroleuo rhai camau ymarferol y gall sefydliadau tai eu cymryd i sicrhau bod ganddynt arferion diogelu data cadarn ar waith:
RHOI HYFFORDDIANT TRYLWYR A PHERTHNASOL
Rhaid i bob sefydliad tai sicrhau bod staff wedi’u hyfforddi’n briodol fel eu bod yn gyfarwydd â’u rhwymedigaethau diogelu data. Rhaid hyfforddi’r holl staff yn llawn yn y prosesau a’r gweithdrefnau cywir wrth ymdrin â gwybodaeth bersonol fel eu bod yn gwybod pryd i uwchgyfeirio unrhyw fylchiadau, a pha gofnodion y cânt eu cyrchu. Mae’n bwysig sicrhau bod unrhyw hyfforddiant yn benodol i’r rôl, yn gweddu i’r tasgau dan sylw ac yn berthnasol iddynt. Dylai staff deimlo’n hyderus wrth drin gwybodaeth bersonol pobl yn ddiogel a dilyn prosesau eu sefydliad.
Yn gynharach eleni, cyhoeddwyd cerydd i Gymdeithas Tai Clyde Valley am ddangos gwybodaeth bersonol preswylwyr ar borthol cwsmeriaid ar-lein. Ffoniodd preswylydd gynghorydd gwasanaethau cwsmeriaid i’w hysbysu am y bylchiad data, ond ni chafodd ei bryderon eu huwchgyfeirio. Canfu ein hymchwiliad fod y gymdeithas tai wedi methu cynnal profion digonol cyn i’r porthol cwsmeriaid fynd yn fyw ac nad oedd staff wedi’u hyfforddi’n briodol ar sut i uwchgyfeirio bylchiad.
GWIRIWCH AC AIL-WIRIWCH YN RHEOLAIDD FOD GWYBODAETH YN GYWIR
Rhaid i sefydliadau tai gymryd camau i sicrhau bod y wybodaeth bersonol sydd ganddynt yn gywir a gellir atal llawer o fylchiadau trwy sicrhau bod staff bob amser yn ail-wirio cyn i unrhyw wybodaeth bersonol gael ei throsglwyddo, ei newid neu ei datgelu. Gallai gwirio’n aml gyda phobl i weld os yw’r wybodaeth a’r cyfarwyddiadau ar eu cyfer yn dal yn gywir atal gwybodaeth rhag cael ei datgelu i gyfeiriad, cyfeiriad e-bost neu rif cyswllt blaenorol. Bydd cadw cofnod cywir o gyswllt â phreswylwyr hefyd yn eich helpu i ddelio â materion mewn modd amserol.
Yn 2022, rhoddwyd cerydd i’r darparwyr tai Bolton at Home am ddatgelu cyfeiriad cartref dioddefwr cam-drin domestig yn amhriodol. Canfu ein hymchwiliad fod angen i’r gymdeithas tai fod yn fwy gofalus wrth gadw cofnodion er mwyn amddiffyn preswylwyr.
BOD Â SYSTEM AR WAITH I GEFNOGI RHANNU DATA
Gall sefydliadau tai o bryd i’w gilydd dderbyn ceisiadau am wybodaeth am breswylwyr presennol a chyn-breswylwyr gan drydydd partïon, megis cwmnïau cyfleustodau a chasglwyr dyledion.
Fe fydd yna sefyllfaoedd lle gall fod angen rhannu gwybodaeth bersonol am breswylwyr gyda thrydydd parti, a dylai fod gan sefydliadau tai system briodol ar waith. Gall bod â system sy’n ei gwneud hi’n ofynnol i uwch-aelodau o staff, wedi’u hyfforddi mewn diogelu data, benderfynu a ddylid rhyddhau gwybodaeth bersonol fesul achos leihau’r tebygolrwydd y caiff data ei rannu’n amhriodol. Os bydd sefydliad tai yn penderfynu rhannu gwybodaeth bersonol, dim ond gwybodaeth berthnasol, angenrheidiol y dylai ei darparu a dylid cofnodi’r penderfyniad.
Cymryd camau i gadw eich systemau’n ddiogel, yn cynnwys:
- Defnyddiwch gyfrineiriau cryf a dilysiad aml-ffactor: Gwnewch yn siŵr y defnyddir cyfrineiriau cryf ar ffonau clyfar, gliniaduron, tabledi, cyfrifon e-bost ac unrhyw ddyfeisiau neu gyfrifon eraill lle caiff gwybodaeth bersonol ei storio. Lle bo modd, dylech ystyried defnyddio dilysu aml-ffactor. Mae hwn yn fesur diogelwch i sicrhau bod y person cywir yn cyrchu’r data. Mae’n mynnu o leiaf ddau ddull adnabod ar wahân cyn caniatáu mynediad.
- Gochelwch rhag negeseuon e-bost amheus: Dylid monitro’n rheolaidd i ganfod gweithgarwch amheus neu anarferol ac ymchwilio iddo. Dylai staff wybod sut i drin e-byst amheus a hysbysu cydweithwyr perthnasol amdanynt yn ddioed. Gochelwch rhag galwadau i weithredu ar frys, ceisiadau i ddiweddaru dulliau talu, a chynigion i ailosod cyfrinair nas ceisiwyd.
- Gosodwch feddalwedd i amddiffyn yn erbyn drwgwedd a’i diweddaru. Gall helpu i amddiffyn eich dyfais rhag ymosodiad, ond dim ond os caiff ei diweddaru a’i monitro’n rheolaidd. Gweithredwch ar unrhyw rybuddion.
- Diweddarwch feddalwedd: Rhedwch pob diweddariad meddalwedd yn ddioed. Mae hyn yn sicrhau y caiff unrhyw broblemau neu wendidau eu trwsio ac yn lleihau’r posibilrwydd o ymosodiad.
- Peidiwch â chadw data’n hwy na’r angen: Nid dim ond rhyddhau gofod storio a wna dileu data dianghenraid, mae’n egwyddor allweddol i ddiogelu data. Mae’n golygu bod llai o wybodaeth bersonol mewn perygl os dioddefwch ymosodiad seiber neu fylchiad personol.
- Gwaredwch hen offer TG a chofnodion yn ddiogel: Rhaid sicrhau na chaiff data personol ei adael ar gyfrifiaduron, gliniaduron, ffonau clyfar neu unrhyw ddyfais ddigidol arall, cyn cael gwared arnynt. Gallech ystyried defnyddio meddalwedd dileu neu logi arbenigwr i ddileu’r data.
- Adroddwch wrth yr ICO: Pe bai ymosodiad seiber yn digwydd, mae gofyniad rheoliadol arnoch i ddweud wrth yr ICO. Rydym hefyd wedi gweithio gyda NCSC i atgoffa sefydliadau i beidio â thalu pridwerth os ceir ymosodiad seiber, gan nad yw’n lleihau’r risg i unigolion nac yn cael ei ystyried yn gam rhesymol i ddiogelu data.
MAE’R ICO YMA I HELPU SEFYDLIADAU TAI A THRIGOLION
Am astudiaethau achos pellach am faterion megis rhannu data a chadw cofnodion cywir, mae gan yr ICO flog penodol ar sut y gall cyfraith diogelu data atal niwed yn y sector tai.
Gall unrhyw sefydliad tai sydd ag angen cymorth i brosesu neu rannu gwybodaeth bersonol ddod o hyd i arweiniad pellach ar ein gwefan neu gysylltu â ni am gyngor.
Rydym hefyd yma i gefnogi’r cyhoedd a sicrhau bod eu hawliau diogelu data yn cael eu parchu. Os oes unrhyw un yn pryderu am sut mae sefydliad yn trin eu data, gallant gwyno wrthym yma.
David Teague yw pennaeth materion Cymreig Swyddfa’r Comisiynydd Gwybodaeth