Canllawiau

Cod Ymarfer Ymchwil a Meini Prawf Achredu

Diweddarwyd 12 Chwefror 2020

漏 Hawlfraint y Goron 2020

Mae'r cyhoeddiad hwn wedi'i drwyddedu o dan delerau Trwydded Agored y Llywodraeth v3.0 ac eithrio ble nodir yn wahanol. I weld y drwydded hon, ewch i neu ysgrifennwch at y T卯m Polisi Gwybodaeth, Yr Archifau Gwladol, Kew, Llundain TW9 4DU, neu anfonwch e-bost at: psi@nationalarchives.gov.uk.

Lle byddwn wedi nodi unrhyw wybodaeth am hawlfraint trydydd parti, bydd angen i chi gael caniat芒d gan ddeiliaid yr hawlfraint dan sylw.

Mae'r cyhoeddiad hwn ar gael yn /government/publications/digital-economy-act-2017-part-5-codes-of-practice/3b820537-b60e-463a-b3b2-cdbcecdcd419

Rhan 1: Cod Ymarfer[footnote 1]

Y Cod Ymarfer a鈥檙 Meini Prawf Achredu

1.1 Drwy Bennod 5 o Ran 5 o Ddeddf yr Economi Ddigidol 2017 (鈥榶 Ddeddf鈥), mae Senedd y DU wedi creu deddfwriaeth, sy鈥檔 gymwys ledled y DU, sy鈥檔 hwyluso鈥檙 broses o gysylltu a rhannu setiau data a ddelir gan awdurdodau cyhoeddus (fel y鈥檜 diffinnir yn y Ddeddf) at ddibenion gwaith ymchwil. Nod y darpariaethau yw ehangu gallu gwaith ymchwil i sicrhau nifer o fuddiannau uniongyrchol ac anuniongyrchol i鈥檙 cyhoedd, gan gynnwys llunio dealltwriaeth newydd a gwerthfawr o gymdeithas ac economi鈥檙 DU, yn deillio o鈥檙 gwaith ymchwil hwnnw.

1.2 Mae鈥檙 p诺er a nodir ym Mhennod 5 (鈥榶 p诺er Ymchwil鈥) yn fras yn golygu y gellir datgelu gwybodaeth a ddelir gan un awdurdod cyhoeddus i berson arall at ddibenion gwaith ymchwil sy鈥檔 mynd rhagddo, neu y bwriedir ei gynnal. Mae hefyd yn nodi proses ar gyfer sicrhau bod gwybodaeth bersonol yn 鈥榓nadnabyddadwy鈥 (鈥榙e-identifying鈥 yn Saesneg) a gaiff ei rhannu o dan y p诺er hwn. Er mwyn darparu eglurder a thryloywder o ran sut y bydd y p诺er yn gweithredu, mae鈥檙 Ddeddf yn ei gwneud yn ofynnol i Awdurdod Ystadegau鈥檙 DU (y cyfeirir ato o hyn ymlaen fel 鈥榶r Awdurdod鈥)[footnote 2] gyhoeddi Cod Ymarfer sy鈥檔 ymwneud 芒 datgelu, prosesu, dal neu ddefnyddio gwybodaeth bersonol o dan y porth hwn. Rhaid i鈥檙 Awdurdod ymgynghori fel y nodir yn y Ddeddf cyn cyhoeddi neu ailgyhoeddi鈥檙 cod hwn, a rhaid iddo gyflwyno鈥檙 cod gerbron Senedd y DU a鈥檙 deddfwrfeydd datganoledig yng Nghymru, yr Alban a Gogledd Iwerddon.

1.3 Mae鈥檙 Ddeddf yn ei gwneud yn ofynnol i dri gr诺p o bobl ystyried yr egwyddorion a nodir yn y Cod hwn:

  • Awdurdodau cyhoeddus sy鈥檔 dal data[footnote 3] wrth ddatgelu gwybodaeth bersonol neu brosesu at ddibenion gwaith ymchwil dilynol o dan y p诺er Ymchwil;
  • Y rheini sydd wedi鈥檜 hachredu at ddibenion prosesu鈥檙 data hyn, p鈥檜n a yw鈥檙 prosesu hwnnw yn ymwneud yn bennaf 芒 chysylltu data neu sicrhau bod data yn anadnabyddadwy, neu storio a darparu mynediad diogel i鈥檙 data anadnabyddadwy;
  • Unigolion y caiff data anadnabyddadwy eu rhyddhau iddynt er mwyn cynnal gwaith ymchwil.

1.4 Mae鈥檙 Ddeddf hefyd yn ei gwneud yn ofynnol i bob un sy鈥檔 ymwneud 芒 phrosesu neu ddefnyddio gwybodaeth o dan y porth hwn ar gyfer datgelu gwybodaeth o dan y p诺er hwn, sicrhau achrediad sy鈥檔 briodol i鈥檙 swyddogaethau y maent yn ceisio eu harfer o dan y Ddeddf. Mae鈥檙 Ddeddf yn nodi鈥檙 Awdurdod fel y corff sy鈥檔 gyfrifol am oruchwylio鈥檙 broses achredu hon ac yn ei gwneud yn ofynnol i鈥檙 Awdurdod gyhoeddi set o feini prawf y mae鈥檔 rhaid i unigolion, sefydliadau a phrosiectau ymchwil eu bodloni cyn cael eu hachredu ar gyfer unrhyw rai o鈥檙 swyddogaethau a nodir yn y Ddeddf. Nodir manylion y meini prawf ar gyfer achredu yn Rhan 2 o鈥檙 ddogfen hon.

1.5 Wrth lunio鈥檙 cod a鈥檙 meini prawf achredu, mae鈥檙 Awdurdod wedi ystyried y canlynol, ymhlith pethau eraill:

  • Y Comisiynydd Gwybodaeth - Data Sharing code of practice (2011)[footnote 4]
  • Y Comisiynydd Gwybodaeth - Anonymisation: Managing Data Protection Risk Code of Practice (2012)
  • Y Comisiynydd Gwybodaeth - Conducting Privacy Impact Assessments Code of Practice (2014)
  • Y Comisiynydd Gwybodaeth - Privacy Notices, Transparency and Control Code of Practice (2016)
  • Deddf Ystadegau a鈥檙 Gwasanaeth Cofrestru 2007
  • Y Cod Ymarfer ar gyfer Ystadegau Swyddogol
  • Y ddeddfwriaeth diogelu data[footnote 5]
  • Egwyddorion Moesegol Pwyllgor Cynghori鈥檙 Ystadegydd Gwladol ar Foeseg Data
  • Adroddiad y Tasglu Data Gweinyddol (2012)
  • Papur Gwyn Swyddfa鈥檙 Cabinet ar Ddata Agored (2012)

Deall y p诺er

2.1 Mae鈥檙 Ddeddf yn helpu i sicrhau bod y DU yn chwarae rhan arweiniol yn y tirlun gwaith ymchwil rhyngwladol ac yn cefnogi nifer o fuddiannau uniongyrchol i鈥檙 cyhoedd, gan ddiogelu cyfrinachedd gwybodaeth bersonol ar yr un pryd. Bydd y p诺er yn helpu i gyflawni hyn drwy wneud y canlynol:

  • cynyddu argaeledd data amrywiol o ansawdd uchel i ymchwilwyr o fewn y llywodraeth a鈥檙 tu allan iddi, a fydd yn helpu i lywio gwelliannau yn sail y dystiolaeth sydd ar gael i lunwyr polisi a gwneuthurwyr penderfyniadau allweddol eraill;
  • hwyluso鈥檙 broses o gysylltu setiau data a ddelir gan ddau awdurdod cyhoeddus neu fwy mewn amgylcheddau rheoledig, sy鈥檔 cynnig mwy o gyfleoedd i feithrin dealltwriaeth newydd o鈥檙 heriau cymdeithasol ac economaidd y mae dinasyddion a busnesau yn eu hwynebu;
  • helpu ymchwilwyr a llunwyr polisi i feithrin dealltwriaeth well o鈥檙 ffordd y mae pobl yn byw eu bywydau, eu patrymau angen a鈥檜 defnydd o wahanol wasanaethau a鈥檙 canlyniadau sy鈥檔 deillio o hynny, er mwyn helpu i ddylunio a chyflenwi gwasanaethau cyhoeddus mwy effeithiol ac effeithlon.

2.2 Bydd y Ddeddf yn helpu i roi sicrwydd ac eglurder i awdurdodau cyhoeddus ac ymchwilwyr y gellir datgelu data at ddibenion gwaith ymchwil ac o dan ba amodau y gellir datgelu鈥檙 data hynny. Bydd hyn yn helpu i leihau oedi ac anghysondeb wrth ryddhau data a ddelir yn gyhoeddus at ddibenion gwaith ymchwil, gan helpu i sicrhau y gellir gwireddu鈥檙 buddiannau economaidd a chymdeithasol sy鈥檔 gysylltiedig 芒 gwaith ymchwil yn haws.

2.3 Mae鈥檙 p诺er Ymchwil yn y Ddeddf yn borth caniataol er mwyn galluogi awdurdodau cyhoeddus i sicrhau bod gwybodaeth ar gael i ymchwilwyr at ddiben gwaith ymchwil er budd y cyhoedd, ar yr amod y bodlonir nifer o amodau. Mae gofynion yn gysylltiedig 芒鈥檙 p诺er Ymchwil sy鈥檔 ei gwneud yn ofynnol i bart茂on penodol sy鈥檔 ymwneud 芒 datgelu鈥檙 wybodaeth hon i gael eu hachredu, gan ddilyn proses a nodir yn adran 71 o鈥檙 Ddeddf. Cyn y gellir rhannu gwybodaeth bersonol at ddibenion gwaith ymchwil, rhaid ei 鈥榩hrosesu鈥 naill ai gan drydydd parti achrededig neu gan yr awdurdod cyhoeddus sy鈥檔 dal y data ei hun (y cyfeirir at y ddau fel 鈥榶 prosesydd鈥). Yn ogystal 芒 phrosesu鈥檙 data er mwyn sicrhau bod gwybodaeth bersonol yn anadnabyddadwy, bydd angen i brosesydd sicrhau bod gweithdrefnau ar waith ar gyfer cysylltu, storio a churadu data, a gweithdrefnau cysylltiedig eraill fel y bo鈥檔 briodol. Pan fydd y wybodaeth wedi cael ei phrosesu, gellir ei datgelu i ymchwilydd achrededig mewn amgylchedd diogel. Rhaid i鈥檙 prosesydd achrededig gymryd camau rhesymol i sicrhau bod unrhyw ddata (neu ddadansoddiad yn seiliedig ar y data) a gaiff eu cadw gan yr ymchwilydd, neu a gaiff eu cyhoeddi, yn destun proses rheoli datgelu er mwyn lleihau鈥檙 risg y caiff testunau鈥檙 data eu hailadnabod neu y caiff y data eu camddefnyddio mewn ffordd arall.

2.4 Er mwyn sicrhau y caiff data eu prosesu a鈥檜 rhyddhau i ymchwilwyr achrededig mewn ffordd ddiogel (ac yn unol 芒 gofynion y ddeddfwriaeth diogelu data), mae鈥檙 Ddeddf yn nodi chwe amod y gellir datgelu gwybodaeth oddi tanynt o dan y p诺er Ymchwil:

  • Rhaid sicrhau bod data yn anadnabyddadwy cyn y gellir eu rhyddhau er mwyn sicrhau na ellir adnabod unigolion yn uniongyrchol o鈥檙 data ac nad yw鈥檔 rhesymol debygol o arwain at allu canfod pwy yw unigolyn penodol (boed yn seiliedig ar y data hynny yn unig neu ynghyd 芒 gwybodaeth arall);
  • Rhaid i鈥檙 part茂on sy鈥檔 ymwneud 芒 phrosesu鈥檙 data a darparu mynediad iddynt gymryd camau rhesymol (sy鈥檔 golygu rhoi camau diogelu priodol ar waith a鈥檜 cynnal) er mwyn lleihau鈥檙 posibilrwydd y gellid datgelu data y gellir adnabod unigolion ohonynt yn ddamweiniol neu鈥檔 fwriadol;
  • Unwaith y bydd data wedi鈥檜 prosesu鈥檔 briodol, gellir eu rhyddhau i鈥檙 ymchwilydd at ddibenion y gwaith ymchwil achrededig;
  • Mae鈥檙 gwaith ymchwil y rhyddheir y data anadnabyddadwy ar ei gyfer er budd y cyhoedd ac wedi鈥檌 asesu felly drwy broses achredu;
  • Mae鈥檙 ymchwilydd (ymchwilwyr) a phob unigolyn sy鈥檔 ymwneud 芒 phrosesu鈥檙 data wedi鈥檜 hachredu i ymgymryd 芒鈥檙 swyddogaethau hyn;
  • Mae awdurdodau cyhoeddus sy鈥檔 datgelu data i drydydd part茂on yr ymddiriedir ynddynt er mwyn iddynt brosesu a rhyddhau鈥檙 data anadnabyddadwy at ddibenion ymchwil, a thrydydd part茂on yr ymddiriedir ynddynt sy鈥檔 ymwneud 芒 phrosesu gwybodaeth at yr un diben, yn ystyried y cod ymarfer hwn.

2.5 Mae鈥檙 Cod hwn yn cynnwys saith egwyddor rhannu data at ddibenion ymchwil, y bwriedir iddynt, gyda鈥檌 gilydd, sicrhau bod y broses o brosesu a darparu gwybodaeth bersonol o dan y Ddeddf yn foesegol ac yn gyfreithiol, ac yn cael ei chynnal mewn ffordd sy鈥檔 sicrhau y caiff gwybodaeth sy鈥檔 ymwneud ag unigolyn (p鈥檜n a oes modd adnabod yr unigolyn o鈥檙 wybodaeth hon ai peidio) ei diogelu鈥檔 briodol. Disgwylir i bob parti sy鈥檔 datgelu, prosesu neu ddefnyddio data o dan y p诺er Ymchwil gydymffurfio 芒鈥檙 egwyddorion hyn wrth gyflawni ei swyddogaeth o dan y p诺er Ymchwil. Er nad ydynt yn gyfrwymol wrth ddatgelu gwybodaeth amhersonol o dan y porth hwn, dylai pawb sy鈥檔 ymwneud 芒 datgelu gwybodaeth amhersonol at ddibenion ymchwil ystyried yr egwyddorion a nodir isod fel arfer da.

Egwyddorion sy鈥檔 llywodraethu鈥檙 broses o ddatgelu data

Egwyddor 1: Cyfrinachedd

3.1 Rhaid i bob unigolyn sy鈥檔 datgelu, yn rhyddhau data, yn prosesu neu鈥檔 defnyddio data o dan y darpariaethau a nodir yn y Ddeddf sicrhau ei fod yn gwneud hynny mewn ffordd sy鈥檔 gwneud popeth sy鈥檔 angenrheidiol i leihau鈥檙 risg y caiff cyfrinachedd gwybodaeth bersonol ei gyfaddawdu. Rhaid pennu camau diogelu priodol a鈥檜 cynnal yn ystod pob cam o鈥檙 broses o drin data, a chan bob unigolyn sy鈥檔 rhan o鈥檙 broses honno, a鈥檜 defnydd at ddibenion ymchwil o dan y porth hwn, mewn ffordd sy鈥檔 gymesur 芒 sensitifrwydd y data hynny. Rhaid i bob unigolyn sy鈥檔 defnyddio鈥檙 p诺er Ymchwil sicrhau uniondeb y camau diogelu hyn drwy fwrw ati i nodi ac asesu鈥檙 risgiau i breifatrwydd a diogelwch, a thrwy adolygu鈥檙 camau diogelu a鈥檙 datrysiadau diogelwch yn rheolaidd er mwyn sicrhau eu bod yn parhau i ymateb i鈥檙 heriau sy鈥檔 gysylltiedig 芒 thechnolegau sy鈥檔 esblygu.

Egwyddor 2: Tryloywder

4.1 Dylai pob parti sy鈥檔 defnyddio鈥檙 p诺er Ymchwil fabwysiadu ymrwymiad i dryloywder o鈥檙 cychwyn er mwyn sicrhau鈥檙 gwerth uchaf posibl i鈥檙 cyhoedd o waith ymchwil a hwylusir gan fynediad at ddata a ddelir gan awdurdodau cyhoeddus. Mae angen sicrhau hefyd bod arferion rhannu gwybodaeth yn deg ac yn dryloyw er mwyn sicrhau cydymffurfiaeth eg egwyddor 鈥榗yfreithlondeb, tegwch a thryloywder鈥 y GDPR (gweler Erthygl 5(1)(a)).[footnote 6] Dylai ymchwilwyr ymgysylltu鈥檔 rheolaidd 芒 rhanddeiliaid craidd ar ganfyddiadau鈥檙 gwaith ymchwil sy鈥檔 deillio o鈥檙 data hyn, a sicrhau bod canfyddiadau gwaith ymchwil ar gael yn hawdd i鈥檙 cyhoedd. Dylai awdurdodau cyhoeddus a phroseswyr sy鈥檔 cyflenwi data gyhoeddi gwybodaeth am y data a ddatgelir ganddynt, y rhesymeg a diben gwneud hynny, ac unrhyw gyfyngiadau a chamau diogelu sy鈥檔 gysylltiedig 芒 phrosesu a defnyddio鈥檙 data hynny. Gall penderfyniadau o ran p鈥檜n a ddylid cyhoeddi gwybodaeth o鈥檙 fath gael eu llywio gan ddiogelwch neu ystyriaethau eraill lle y byddai鈥檙 risgiau sy鈥檔 gysylltiedig 芒 chyhoeddi gwybodaeth o鈥檙 fath yn uwch na鈥檙 budd posibl i鈥檙 cyhoedd. Yn ei rinwedd achredu, gall yr Awdurdod hefyd ddewis cyhoeddi manylion am geisiadau data a cheisiadau a chanlyniadau achredu, gan gynnwys canlyniad unrhyw broses apeliadau.

Egwyddor 3: Moeseg a鈥檙 gyfraith

5.1 Dim ond lle y ceir caniat芒d penodol i wneud hynny y gellir datgelu data i broseswyr (at ddiben rhyddhau data anadnabyddadwy i ymchwilwyr), a rhaid i鈥檙 broses gydymffurfio 芒鈥檙 chwe amod a nodir yn y Ddeddf. Wrth ddatgelu data o dan y p诺er Ymchwil, rhaid i ddeiliaid data, proseswyr ac ymchwilwyr hefyd fodloni鈥檙 holl rwymedigaethau cyfreithiol sy鈥檔 deillio o鈥檙 ddeddfwriaeth diogelu data,[footnote 7] a deddfwriaeth gymwys arall; a disgwylir iddynt ystyried arfer gorau o ran asesiadau o鈥檙 effaith ar breifatrwydd a hysbysiadau preifatrwydd, fel y鈥檜 nodir yn nogfennau鈥檙 Comisiynydd Gwybodaeth 鈥楥onducting Privacy Impact Assessments Code of Practice鈥 a 鈥楶rivacy Notices, Transparency and Control Code of Practice鈥 (sy鈥檔 darparu canllawiau ar gynnwys yr hysbysiadau hyn, yn ogystal 芒 ble a phryd i鈥檞 cyhoeddi). Mae鈥檙 ddeddfwriaeth diogelu data yn ei gwneud yn ofynnol i 鈥渁sesiadau o鈥檙 effaith ar ddiogelu data鈥 gael eu cynnal cyn i鈥檙 data gael eu prosesu pan fydd y gwaith prosesu鈥檔 debygol o arwain at risg uchel i hawliau a rhyddid unigolion. Mae鈥檙 ddeddfwriaeth diogelu data yn ei gwneud yn ofynnol i hysbysiadau preifatrwydd gynnwys gwybodaeth fanylach a mwy penodol nag o dan Ddeddf Diogelu Data 1998.

5.2 Rhaid i bob parti sy鈥檔 ymwneud 芒 datgelu, prosesu neu ddefnyddio data drwy鈥檙 p诺er Ymchwil gydymffurfio 芒鈥檙 safonau moesegol sy鈥檔 briodol i natur y gwaith ymchwil, gan sicrhau y caiff yr heriau moesegol unigryw sy鈥檔 gysylltiedig 芒 defnyddio data a gasglwyd at ddibenion gweithredol eu hystyried ac yr ymdrinnir 芒 nhw wrth gyflawni鈥檙 holl swyddogaethau a ddisgrifir yn y Ddeddf. Er enghraifft, mae Egwyddorion Moesegol Pwyllgor Cynghori鈥檙 Ystadegydd Gwladol ar Foeseg Data yn ymwneud 芒 sicrhau y caiff materion preifatrwydd eu hystyried yn briodol, gan nodi a lleihau鈥檙 risgiau y caiff unigolion eu hailadnabod, ac ystyried risgiau sy鈥檔 briodol ar gyfer y math o ddata, maint y data a sensitifrwydd y data a ddatgelir. Gall hefyd ei gwneud yn ofynnol ystyried risgiau a chyfyngiadau technolegau newydd, arferion goruchwylio a chydymffurfiaeth 芒 safonau methodolegol a safonau ansawdd cydnabyddedig, rhwymedigaethau cyfreithiol a derbynioldeb i鈥檙 cyhoedd.

Egwyddor 4: Budd y cyhoedd

6.1 Dim ond at ddiben cefnogi gwaith ymchwil er budd y cyhoedd y dylid datgelu, prosesu a defnyddio data a geir o dan y p诺er Ymchwil. Ystyr gwaith ymchwil er budd y cyhoedd yw gwaith ymchwil y mae ei brif ddiben yn anelu, er enghraifft, at wneud y canlynol:

  • darparu sail tystiolaeth ar gyfer gwneud penderfyniadau polisi cyhoeddus;
  • darparu sail tystiolaeth ar gyfer cyflenwi gwasanaethau cyhoeddus;
  • darparu sail tystiolaeth ar gyfer penderfyniadau sy鈥檔 debygol o fod o fudd sylweddol i economi, cymdeithas neu ansawdd bywyd pobl yn y DU, dinasyddion y DU neu bobl a aned yn y DU sydd bellach yn byw dramor;
  • ailadrodd, dilysu, herio neu adolygu gwaith ymchwil sy鈥檔 bodoli eisoes a chyhoeddiadau ymchwil arfaethedig, gan gynnwys ystadegau swyddogol;
  • ehangu dealltwriaeth o dueddiadau neu ddigwyddiadau cymdeithasol neu economaidd yn sylweddol drwy wella鈥檙 wybodaeth sydd ar gael neu herio dadansoddiadau a dderbyniwyd yn eang; a/neu,
  • gwella ansawdd neu gwmpas gwaith ymchwil sy鈥檔 bodoli eisoes neu wella鈥檙 ffordd y caiff ei gyflwyno, gan gynnwys ystadegau swyddogol neu Ystadegau Gwladol.

6.2 Mae鈥檙 Awdurdod wedi nodi rhagor o wybodaeth sy鈥檔 ymwneud 芒鈥檙 meini prawf ar gyfer penderfynu p鈥檜n a yw gwaith ymchwil er budd y cyhoedd ai peidio yn y meini prawf ar gyfer achredu prosiectau ymchwil (gweler Rhan 2: Meini Prawf Achredu).

Egwyddor 5: Cymesuredd

7.1 Rhaid datgelu data neu eu rhyddhau mewn ffordd sy鈥檔 sicrhau bod y beichiau a鈥檙 costau sy鈥檔 gysylltiedig 芒 gwneud hynny yn gymesur 芒 buddiannau disgwyliedig y gwaith ymchwil arfaethedig, ni waeth pwy sy鈥檔 wynebu鈥檙 baich a鈥檙 costau. Dylai ymchwilydd sicrhau, wrth geisio cael mynediad at ddata a ddelir gan awdurdodau cyhoeddus, ei fod, i鈥檙 graddau y gall wneud hynny, wedi asesu dewisiadau amgen addas, llai beichus a鈥檌 fod yn fodlon nad oes unrhyw ddewisiadau amgen rhesymol yn bodoli neu y byddai costau ariannol neu ansawdd cael gafael ar ddata o ffynonellau eraill yn waharddol. Yn yr un modd, mae鈥檔 ofynnol i awdurdodau cyhoeddus sy鈥檔 dal data ddarparu data mewn ffordd mor effeithlon 芒 phosibl, a sicrhau bod unrhyw daliadau adennill costau yn gymesur 芒鈥檙 gwaith a wnaed yn benodol at ddiben rhyddhau data ar gyfer prosiectau ymchwil penodedig.

Egwyddor 6: Achredu

8.1 Rhaid i bob unigolyn achrededig a鈥檙 prosiect ymchwil ei hun barhau鈥檔 achrededig am hyd y prosiect ac ar bob adeg wrth brosesu鈥檙 data, cael gafael arnynt neu eu defnyddio, ac felly rhaid iddynt gydymffurfio 芒鈥檙 gofynion ar gyfer cynnal yr achrediad (megis rhwymedigaethau hyfforddi). Mae hefyd yn ofynnol i ddeiliaid data a phroseswyr achrededig sicrhau pan fyddant yn datgelu neu鈥檔 rhyddhau data i broseswyr eraill neu ymchwilwyr y gwneir hynny at y dibenion penodol y cawsant eu hachredu ar eu cyfer a dim ond i unigolyn sydd wedi鈥檌 achredu ar gyfer y swyddogaeth y mae鈥檔 ei chyflawni.

8.2 Bydd yr Awdurdod yn sicrhau ei fod yn arfer ei swyddogaeth achredu heb unrhyw ddylanwad gan fuddiannau sefydliadol, gwleidyddol neu bersonol, a bod systemau apelio priodol ar gael i ymgeiswyr sy鈥檔 gwneud cais am achrediad (neu鈥檙 rheini y caiff eu hachrediad ei atal neu ei ddileu).

Egwyddor 7: Cadw data a鈥檜 datgelu o hynny ymlaen

9.1 Dim ond am gyfnod cyfyngedig y gall proseswyr data trydydd parti (h.y. y rheini sydd wedi鈥檜 hachredu at ddibenion sicrhau bod gwybodaeth bersonol yn anadnabyddadwy lle nad yr awdurdod cyhoeddus sy鈥檔 dal y data yw鈥檙 rheini) gadw data adnabyddadwy wedi鈥檜 rhagbrosesu. Bydd yr Awdurdod yn diffinio鈥檙 cyfnod hwn fel rhan o鈥檙 broses achredu, yn amodol ar gydsyniad yr awdurdod cyhoeddus perthnasol sy鈥檔 dal y data, ac yn unol 芒 natur y data, canllawiau arfer da ac unrhyw ystyriaethau perthnasol eraill. Bydd proseswyr data yn gallu gwneud cais i鈥檙 Awdurdod am estyniad i鈥檙 cyfnod hwn pan fydd rhesymeg ymchwil glir dros wneud hynny (er enghraifft, astudiaethau hydredol), yn amodol ar gydsyniad yr awdurdod cyhoeddus perthnasol sy鈥檔 dal y data.

9.2 Gall proseswyr sy鈥檔 storio鈥檙 data anadnabyddadwy ryddhau鈥檙 data anadnabyddadwy hynny i ymchwilwyr eraill ac i brosiectau ymchwil eraill lle y bodlonir yr holl feini prawf canlynol:

  • lle mae鈥檙 data wedi鈥檜 prosesu gan brosesydd data trydydd parti, mae鈥檙 awdurdod cyhoeddus sy鈥檔 dal y data wedi cytuno y gall y prosesydd hwnnw ryddhau鈥檙 data anadnabyddadwy i unigolion ychwanegol a/neu i brosiectau ymchwil ychwanegol;
  • mae鈥檙 prosesydd yn parhau鈥檔 gwbl achrededig mewn perthynas 芒鈥檌 swyddogaeth ddatgelu;
  • mae鈥檙 ymchwilydd a鈥檙 prosiectau ymchwil wedi鈥檜 hachredu鈥檔 llawn o ran defnyddio鈥檙 data hyn.

9.3 Rhaid i broseswyr data gymryd camau rhesymol i sicrhau bod unrhyw ddata a gaiff eu rhyddhau i ymchwilwyr, a鈥檜 cadw ganddynt wedi hynny, er mwyn cynnal dadansoddiadau pellach neu er mwyn eu cyhoeddi, yn destun proses rheoli datgelu er mwyn lleihau鈥檙 risg y caiff y data eu hailadnabod neu eu camddefnyddio mewn ffordd arall. Yn unol 芒鈥檙 gofynion a nodir o dan yr egwyddorion uchod, ni ddylid byth datgelu data, eu rhyddhau ar ffurf anadnabyddadwy na鈥檜 trosglwyddo i unrhyw bart茂on nad ydynt wedi鈥檜 hachredu鈥檔 briodol o dan y pwerau hyn.

Rhan 2: Meini Prawf Achredu

10.1 Mae Deddf yr Economi Ddigidol 2017 (鈥榶 Ddeddf鈥) yn caniat谩u i ddata a ddelir gan awdurdodau cyhoeddus gael eu datgelu at ddiben cynnal gwaith ymchwil er budd y cyhoedd o dan y p诺er Ymchwil ym Mhennod 5 o Ran 5 o鈥檙 Ddeddf (鈥榶 p诺er Ymchwil鈥). Er mwyn datgelu data yn y fath fodd, rhaid bod y bobl dan sylw, a鈥檙 gwaith ymchwil sy鈥檔 mynd rhagddo, wedi鈥檜 hachredu gan Awdurdod Ystadegau鈥檙 DU (鈥榶r Awdurdod鈥). Mae鈥檙 Ddeddf yn ei gwneud yn ofynnol[footnote 8] i鈥檙 Awdurdod bennu a chyhoeddi鈥檙 canlynol:

  • yr amodau i鈥檞 bodloni gan unigolyn er mwyn cael ei achredu o dan y Ddeddf;
  • yr amodau i鈥檞 bodloni gan waith ymchwil er mwyn cael ei achredu o dan y Ddeddf;
  • y sail ar gyfer dileu achrediad a roddwyd i unigolyn neu waith ymchwil o dan y Ddeddf.

10.2 Mae鈥檙 ddogfen hon yn nodi鈥檙 amodau a鈥檙 seiliau hynny.

Adran A: Achredu proseswyr

11.1 Mae defnyddio鈥檙 p诺er Ymchwil yn amodol ar sicrhau y caiff y data eu prosesu gan brosesydd achrededig. Rhaid bod prosesydd hefyd wedi鈥檌 achredu ar gyfer y swyddogaethau canlynol:

  • cysylltu, paru a churadu data a sicrhau eu bod yn anadnabyddadwy; a/neu
  • storio a darparu mynediad at ddata anadnabyddadwy.

11.2 Rhaid bod unrhyw unigolyn/unigolion sy鈥檔 ymwneud 芒鈥檙 broses o baratoi, storio a darparu mynediad at ddata anadnabyddadwy wedi鈥檌 achredu ar gyfer y swyddogaeth briodol. Bydd dogfennau achredu yn nodi鈥檔 glir pa rai o鈥檙 swyddogaethau hyn yr achredwyd y prosesydd ar eu cyfer. Bydd Awdurdod Ystadegau鈥檙 DU hefyd yn cyhoeddi manylion am broseswyr achrededig, ynghyd 芒 manylion am ba swyddogaeth/swyddogaethau y mae鈥檙 achrediad yn berthnasol iddi/iddynt. Mewn rhai achosion, gallai鈥檙 awdurdod cyhoeddus y gofynnwyd am ei ddata weithredu fel y prosesydd, os yw鈥檔 meddu ar yr arbenigedd angenrheidiol. Rhaid bod awdurdodau cyhoeddus sy鈥檔 ymgymryd ag unrhyw agwedd ar y gwaith o brosesu eu data eu hunain at ddibenion ymchwil achrededig 鈥 neu yn wir, sy鈥檔 cysylltu ac yn paru eu data i ddata a ddelir gan awdurdod cyhoeddus arall 鈥 wedi鈥檜 hachredu鈥檔 briodol ar gyfer y swyddogaeth brosesu y maent yn ei chyflawni. Bydd hyn yn cynnal safonau cysondeb drwy gydol y broses achredu. Os nad yw鈥檙 ymchwilydd neu unrhyw rai o鈥檙 unigolion sy鈥檔 ymwneud 芒鈥檙 gwaith o brosesu鈥檙 data yn ymddwyn mewn ffordd sy鈥檔 golygu y dylai eu hachrediad barhau, ym marn yr Awdurdod, gall yr Awdurdod benderfynu tynnu eu hachrediad yn 么l (gweler paragraff 22.1 isod).

11.3 Mae鈥檙 Ddeddf yn cyflwyno troseddau newydd lle y caiff gwybodaeth bersonol ei derbyn o dan y p诺er Ymchwil a鈥檌 datgelu yn groes i adrannau 66, 67, 68 neu 69 o鈥檙 Ddeddf.[footnote 9]

11.4 Fel anghenraid, bydd prosesydd achrededig yn cadw ei statws achrededig am hyd at bum mlynedd a chynhelir ailasesiadau rheolaidd, cyhyd ag y bydd yn parhau i fodloni鈥檙 amodau achredu a nodir isod. Ar 么l y cyfnod hwn, bydd angen i brosesydd achrededig wneud cais i adnewyddu ei statws achrededig. O bryd i鈥檞 gilydd, gall bygythiadau a heriau data sy鈥檔 dod i鈥檙 amlwg olygu y bydd angen newid yr amodau achredu y mae angen i brosesydd eu bodloni. O dan amgylchiadau o鈥檙 fath, gall yr Awdurdod benderfynu darparu hysbysiad o鈥檌 fwriad i atal statws achredu proseswyr a鈥檌 ailasesu.

Amodau ar gyfer achredu proseswyr

12.1 Er mwyn cael eu hachredu, rhaid i broseswyr (unigolion sy鈥檔 ymwneud 芒 phrosesu a鈥檙 sefydliadau y maent yn rhan ohonynt) fodloni鈥檙 amodau canlynol:

Mae鈥檙 prosesydd yn berson addas a phriodol i gyflawni swyddogaethau prosesydd

13.1 O dan adran 71(3) o鈥檙 Ddeddf, rhaid i berson fod yn berson addas a phriodol i ymwneud 芒 gweithgareddau prosesu cyn y bydd yr Awdurdod yn ei achredu fel prosesydd. Wrth asesu hyn, bydd yr Awdurdod yn disgwyl i ymgeisydd ddarparu tystiolaeth briodol i gadarnhau ei fod yn meddu ar sgiliau, profiad a seilwaith technegol digonol a bod polis茂au digonol ar waith i ddangos ei fod yn berson addas a phriodol. Bydd angen iddo hefyd ddangos cymaint 芒 phosibl gofnod o gydymffurfiaeth briodol 芒 chyfreithiau鈥檙 DU, yn arbennig gyfreithiau sy鈥檔 berthnasol i weithgareddau prosesu a defnyddio data.

13.2 Bydd asesiad yr Awdurdod o sgiliau, profiad a chydymffurfiaeth 芒 deddfwriaeth berthnasol y DU yn gymwys hefyd i staff y prosesydd a fyddai鈥檔 ymwneud 芒鈥檙 gweithgareddau prosesu arfaethedig. Wrth wneud cais am achrediad fel prosesydd, rhaid i ymgeisydd hysbysu鈥檙 Awdurdod am unrhyw faterion a allai effeithio ar asesiad yr Awdurdod o b鈥檜n a yw鈥檙 person yn berson addas a phriodol i ymwneud 芒 gweithgareddau prosesu o dan y Ddeddf, a darparu tystiolaeth i ategu鈥檙 materion hyn.

Rhaid i鈥檙 prosesydd weithredu o dan awdurdodaeth diriogaethol y DU a chydymffurfio 芒 chyfreithiau鈥檙 DU

14.1 Rhaid i broseswyr fod yn gyfreithiol atebol am y gwaith a wneir ganddynt a rhaid iddynt gydymffurfio 芒 chyfreithiau鈥檙 DU, boed wedi鈥檜 deddfu gan Senedd y DU neu, lle mae鈥檙 gweithgareddau prosesu yn digwydd o fewn awdurdodaeth gweinyddiaeth ddatganoledig, gan y ddeddfwrfa ddatganoledig briodol. Yn arbennig, rhaid i broseswyr sicrhau eu bod yn cydymffurfio 芒鈥檙 gofynion cyfreithiol a nodir yn y Ddeddf, y ddeddfwriaeth diogelu data, Deddf Hawliau Dynol 1998, a darpariaethau perthnasol o dan Ddeddf Pwerau Ymchwiliadol 2016 (gan gynnwys, hyd nes y daw鈥檙 Ddeddf honno i rym yn llawn, ddarpariaethau cyfatebol Deddf Rheoleiddio Pwerau Ymchwiliadol 2000). Gellir asesu cydymffurfiaeth drwy archwiliad ac mae鈥檔 un o鈥檙 amodau creiddiol y mae鈥檔 rhaid i brosesydd eu bodloni er mwyn cadw ei statws achrededig.

Rhaid i鈥檙 prosesydd gyrraedd safonau trawslywodraeth priodol ar gyfer dal data sensitif yn ddiogel

15.1 Mae gan Lywodraeth y DU fframwaith rheoli diogelwch sy鈥檔 nodi鈥檙 protocolau diogelwch ffisegol, person茅l a gwybodaeth sydd eu hangen er mwyn ymdrin 芒鈥檙 holl asedau data a gesglir, a ddelir ac a brosesir gan adrannau鈥檙 llywodraeth.[footnote 10] Mae鈥檙 protocolau hyn yn amrywio yn 么l y ffordd y caiff y data eu dosbarthu yn unol 芒 sensitifrwydd y data a鈥檙 risgiau sy鈥檔 gysylltiedig ag achosion posibl o dorri diogelwch. Er mwyn diogelu cyfrinachedd data a allai fod yn sensitif, rhaid i unrhyw brosesydd sy鈥檔 gwneud cais am achrediad o dan y porth hwn ddarparu tystiolaeth ei fod yn bodloni鈥檙 rheolaethau diogelwch cyfredol mewn ffordd sy鈥檔 gymesur 芒 sensitifrwydd y data y bydd y prosesydd yn ymdrin 芒 nhw. Lle bo鈥檙 prosesydd am brosesu data o dan y porth hwn a bod y data hynny yn fwy sensitif na鈥檙 data y cafodd ei achredu ar eu cyfer, rhaid iddo hysbysu鈥檙 Awdurdod a darparu tystiolaeth ei fod yn bodloni鈥檙 gofynion diogelwch ychwanegol.

Rhaid bod y prosesydd yn meddu ar sgiliau a phrofiad priodol

16.1 Rhaid i鈥檙 prosesydd sicrhau bod ei staff yn meddu ar y sgiliau a鈥檙 profiad angenrheidiol i ymgymryd 芒鈥檙 gwaith sydd ei angen yn unol 芒鈥檙 safonau gofynnol, fel y bo鈥檔 briodol ar gyfer y swyddogaeth brosesu y gwneir cais am achrediad ar ei chyfer. Rhaid bod staff sy鈥檔 ymwneud 芒 pharatoi data wedi cael hyfforddiant a rhaid iddynt allu dangos eu bod yn deall sut i gysylltu a pharu data a sicrhau eu bod yn anadnabyddadwy mewn ffordd ddiogel; rhaid i鈥檙 rheini sy鈥檔 ymwneud 芒 darparu data allu dangos eu profiad a鈥檜 gallu i storio data anadnabyddadwy a sicrhau eu bod ar gael yn ddiogel. Dylid hefyd bod wedi cynnal archwiliad diogelwch ar gyfer unigolion sy鈥檔 gyfrifol am unrhyw agwedd ar brosesu data, ar lefel sy鈥檔 briodol ar gyfer natur y data maent yn ymdrin 芒 nhw.

16.2 At ddibenion archwilio, rhaid i鈥檙 prosesydd gytuno i gadw rhestr o鈥檙 holl unigolion hynny sy鈥檔 bodloni鈥檙 gofynion hyn. Dylai鈥檙 prosesydd hefyd sicrhau mai dim ond yr agweddau hynny ar y gweithgareddau prosesu y mae ganddynt brofiad a hyfforddiant addas ar eu cyfer y bydd unigolion yn ymwneud 芒 nhw ac mai dim ond unigolion 芒 phrofiad a hyfforddiant addas fydd yn gallu cael mynediad at ddata a ddarperir gan yr awdurdod cyhoeddus. Rhaid i bob unigolyn sy鈥檔 ymwneud ag unrhyw agwedd ar y gweithgareddau prosesu lofnodi datganiad i gadarnhau eu bod wedi deall eu cyfrifoldebau ac y byddant yn cydymffurfio 芒鈥檙 amodau a osodwyd arnynt, gan gynnwys diogelu cyfrinachedd y wybodaeth y byddant yn cael mynediad ati o dan y ddeddfwriaeth.

Rhaid i鈥檙 prosesydd ddefnyddio seilwaith technegol priodol

17.1 Rhaid i鈥檙 prosesydd ddefnyddio seilweithiau data addas er mwyn galluogi iddo gysylltu a pharu data a sicrhau eu bod yn anadnabyddadwy, storio data anadnabyddadwy a鈥檜 rhyddhau, fel y bo鈥檔 briodol ar gyfer y swyddogaeth benodol/swyddogaethau penodol y mae鈥檙 prosesydd yn ei chyflawni/eu cyflawni.

Rhaid i鈥檙 prosesydd gytuno i gyhoeddi a chadw polis茂au data priodol

18.1 Ar adeg cyflwyno鈥檙 cais, rhaid i鈥檙 prosesydd gyflwyno set o ddogfennau manwl, a chadw鈥檙 set honno cyhyd ag y byddant am barhau鈥檔 achrededig, sy鈥檔 dangos er boddhad i鈥檙 Awdurdod y bydd y prosesydd yn bodloni鈥檙 gofynion ar gyfer trin, storio, diogelu a dinistrio data a brosesir ganddo at ddibenion ymchwil o dan y p诺er. Yn benodol:

  • Polisi Amgylcheddau Diogel sy鈥檔 sicrhau bod yr amgylchedd a phrosesau ffisegol yn bodloni鈥檙 gofynion ar gyfer dal data sensitif. Ar gyfer proseswyr sy鈥檔 gwneud cais am achrediad i ddarparu data, rhaid i鈥檙 polis茂au hyn ymdrin 芒 gweithredu鈥檙 cyfleuster mynediad diogel at ddata lle y gall ymchwilwyr gael mynediad at ddata. Rhaid bod cyfleusterau prosesu data diogel wedi鈥檜 hachredu鈥檔 addas yn unol 芒 safonau diogelwch trawslywodraeth;
  • Protocol Digwyddiadau Mawr sy鈥檔 ymwneud ag achosion o dorri diogelwch data a phreifatrwydd;
  • Polisi ar gyfer Sicrhau bod Data yn Anadnabyddadwy;
  • Polisi Cadw a Dinistrio Data;
  • Polisi ar gyfer Achosion o Dorri Cyfrinachedd Data.

18.2 Rhaid i鈥檙 prosesydd sicrhau bod unrhyw gytundebau prosesu data ar waith ar gyfer unrhyw ddata a gaiff gan awdurdodau cyhoeddus cyn iddo brosesu鈥檙 data hynny. Gwneir penderfyniad ynghylch p鈥檜n a oes angen cytundeb ai peidio ar sail achosion unigol drwy drafod gyda鈥檙 awdurdod cyhoeddus perthnasol sy鈥檔 dal y data. Rhaid i鈥檙 prosesydd hefyd gytuno i gydymffurfio ag unrhyw bolis茂au a gweithdrefnau ychwanegol y mae鈥檙 Awdurdod wedi鈥檜 datblygu yn ei rinwedd achredu. Bydd yr Awdurdod yn darparu rhybudd priodol pan fydd yn bwriadu cyflwyno polisi neu ofynion gweithdrefnol newydd.

Rhaid i鈥檙 prosesydd gytuno i gael ei gynnwys ar gofrestr gyhoeddus

19.1 Mae鈥檔 ofynnol i鈥檙 Awdurdod gadw cofrestr gyhoeddus o bobl achrededig. Felly, rhaid i unrhyw bobl sy鈥檔 gwneud cais am achrediad i brosesu o dan y p诺er hwn gytuno i gael eu cynnwys ar y gofrestr hon, onid oes rhesymau eithriadol dros beidio 芒 gwneud hynny.

Rhaid i鈥檙 prosesydd gydsynio i gael ei archwilio

20.1 Er mwyn cyflawni ei ddyletswydd goruchwylio a sicrhau bod proseswyr yn parhau i fodloni鈥檙 gofynion perthnasol, gall yr Awdurdod, o bryd i鈥檞 gilydd, benderfynu cynnal archwiliad o broseswyr achrededig. Rhaid i broseswyr gydsynio i gael eu harchwilio yn ystod eu cais achredu, a rhaid iddynt gydymffurfio鈥檔 llawn ag unrhyw archwiliad a gynhelir er mwyn cadw eu statws achrededig. Caiff canlyniad yr archwiliad ei gyfleu i鈥檙 prosesydd.

Rhaid i鈥檙 prosesydd ystyried y Cod Ymarfer

21.1 Rhaid i鈥檙 prosesydd ystyried y Cod Ymarfer a鈥檌 egwyddorion wrth gyflawni unrhyw rai o鈥檌 swyddogaethau prosesu. Mae rhoi ystyriaeth briodol i鈥檙 Cod yn un o鈥檙 amodau creiddiol y mae鈥檔 rhaid i brosesydd eu bodloni er mwyn cadw ei statws achrededig a gellir ei asesu drwy archwiliad.

Tynnu achrediad yn 么l

22.1 Gellir atal achrediad dros dro neu ei dynnu鈥檔 么l gan brosesydd a achredwyd i baratoi neu ddarparu data am un neu fwy o鈥檙 rhesymau canlynol:

  • pan na fydd y prosesydd bellach yn bodloni unrhyw rai o鈥檙 gofynion achredu;
  • pan fydd y prosesydd yn methu ag ystyried y Cod Ymarfer sy鈥檔 llywodraethu trefniadau rhannu data at ddibenion ymchwil;
  • pan fydd y prosesydd wedi torri鈥檙 ddeddfwriaeth diogelu data, fel y鈥檌 diffinnir uchod, neu ddeddfwriaeth berthnasol arall;
  • pan fydd y prosesydd wedi cael ei gollfarnu o droseddau perthnasol o dan y Ddeddf, y ddeddfwriaeth diogelu data, fel y鈥檌 diffinnir uchod, neu ddeddfwriaeth berthnasol arall;
  • pan fydd Swyddfa鈥檙 Comisiynydd Gwybodaeth wedi gosod cosbau ar y prosesydd mewn perthynas 芒 phrosesu o dan y ddeddfwriaeth diogelu data, fel y鈥檌 diffinnir uchod;
  • pan fydd y prosesydd wedi gwrthod darparu鈥檙 gwasanaeth prosesu y cafodd ei achredu ar ei gyfer neu wedi tynnu鈥檙 gwasanaeth hwnnw yn 么l;
  • pan fydd y prosesydd wedi dwyn anfri ar y cynllun achredu;
  • pan fydd y prosesydd yn gwrthod cael archwiliad, neu鈥檔 atal y broses archwilio; a/neu,
  • pan fydd y prosesydd yn codi ffioedd am brosesu, ac eithrio鈥檙 rheini a ganiateir fel arfer at ddibenion adennill costau.

Ystyriaethau eraill

23.1 Bydd yr Awdurdod yn rhoi canllawiau pellach ar y gweithdrefnau a鈥檙 prosesau sy鈥檔 llywodraethu鈥檙 broses o achredu proseswyr at ddiben paratoi data neu ddarparu mynediad at ddata o dan y Ddeddf. Bydd gan brosesydd sydd wedi gwrthod achrediad, neu y mae ei achrediad wedi cael ei atal dros dro neu wedi鈥檌 ddileu yr hawl i apelio i Awdurdod Ystadegau鈥檙 DU fel y corff achredu.

Adran B: Achredu ymchwilwyr ac adolygwyr cymheiriaid

24.1 Rhaid i ymchwilwyr sy鈥檔 ymgymryd 芒 gwaith ymchwil gan ddefnyddio data a ddarparwyd o dan y p诺er Ymchwil sicrhau achrediad drwy fodloni鈥檙 amodau isod. Mae鈥檙 amodau hyn yr un mor berthnasol i unigolion sydd am gael mynediad at y data a ddelir gan y prosesydd at ddiben adolygu鈥檙 gwaith ymchwil hwnnw cyn cyhoeddi allbynnau鈥檙 gwaith ymchwil (adolygwyr cymheiriaid).

Amodau ar gyfer achredu ymchwilwyr ac adolygwyr cymheiriaid

Rhaid i鈥檙 ymchwilydd / adolygwr cymheiriaid ddarparu tystiolaeth o gymwysterau a/neu brofiad ymchwil addas

25.1 Er mwyn dangos bod ganddo gymwysterau a/neu brofiad ymchwil addas, rhaid i unigolyn naill ai:

  • feddu ar radd israddedig (neu uwch) gan gynnwys cyfran sylweddol o fathemateg neu ystadegau; neu,
  • gallu dangos o leiaf 3 blynedd o brofiad ymchwil meintiol.

Rhaid i鈥檙 ymchwilydd / adolygwr cymheiriaid gytuno i ymgymryd 芒 hyfforddiant gorfodol

26.1 Gall yr Awdurdod ddewis darparu hyfforddiant ar ymdrin 芒鈥檙 data yn ddiogel a rheolau rheolaeth ddatgelu ar gyfer allbynnau鈥檙 gwaith ymchwil er mwyn sicrhau bod ymchwilwyr yn gwbl ymwybodol o鈥檜 rhwymedigaethau, a thrwy hynny leihau鈥檙 risg y caiff gwybodaeth bersonol ei datgelu. Rhaid i ymchwilwyr/adolygwyr cymheiriaid gytuno i ymgymryd ag unrhyw hyfforddiant sy鈥檔 ofynnol gan yr Awdurdod; gall methu 芒 gwneud hynny fod yn sail dros atal yr achrediad neu dros dro neu ei ddileu hyd nes y caiff yr hyfforddiant ei gwblhau.

Rhaid i鈥檙 ymchwilydd/adolygwr cymheiriaid gytuno i gael ei gynnwys ar gofnod cyhoeddus

27.1 Mae鈥檔 ofynnol i鈥檙 Awdurdod gyhoeddi cofrestr o ymchwilwyr ac adolygwyr cymheiriaid achrededig. Gall yr Awdurdod hefyd ddewis cyhoeddi trosolwg lefel uchel o brosiectau ymchwil achrededig ac ymchwilwyr achrededig sy鈥檔 gysylltiedig 芒鈥檙 prosiectau hyn. Rhaid i ymchwilwyr/adolygwyr cymheiriaid gydsynio i gyhoeddi鈥檙 manylion hyn ar y gofrestr oni fydd yr Awdurdod yn cytuno bod rhesymau eithriadol dros beidio 芒 gwneud hynny.

Rhaid i鈥檙 ymchwilydd/adolygwr cymheiriaid lofnodi datganiad

28.1 Rhaid i鈥檙 ymchwilydd/adolygwr cymheiriaid lofnodi datganiad i gadarnhau ei fod wedi deall ei gyfrifoldebau ac y bydd yn cydymffurfio 芒鈥檙 amodau a osodwyd arno, gan gynnwys diogelu cyfrinachedd y wybodaeth y bydd yn cael mynediad ati o dan y Ddeddf.

Tynnu achrediad yn 么l

29.1 Gellir atal achrediad dros dro neu ei dynnu鈥檔 么l gan ymchwilydd/adolygwr cymheiriaid achrededig am un neu fwy o鈥檙 rhesymau canlynol:

  • pan na fydd bellach yn bodloni unrhyw rai o鈥檙 gofynion achredu;
  • pan fydd yn methu ag ystyried y Cod Ymarfer sy鈥檔 llywodraethu trefniadau rhannu data at ddibenion ymchwil;
  • pan fydd wedi methu 芒 datgelu gwybodaeth a allai gael effaith berthnasol ar y broses achredu neu pan fydd wedi cwblhau鈥檙 ffurflen gais mewn ffordd anonest fel arall;
  • pan fydd yn methu 芒 chydymffurfio 芒 thelerau unrhyw gytundeb mynediad data rhwng yr awdurdod cyhoeddus sy鈥檔 dal y data a鈥檙 ymchwilydd;
  • pan fydd wedi gweithredu mewn ffordd anghyfreithlon mewn perthynas 芒 gweithgareddau y mae wedi鈥檌 achredu ar eu cyfer;
  • pan fydd wedi dwyn anfri ar y cynllun achredu;
  • pan fydd yn methu ag ymgymryd 芒鈥檙 hyfforddiant priodol neu鈥檔 methu 芒 chwblhau鈥檙 hyfforddiant hwnnw;
  • pan fydd wedi torri鈥檙 ddeddfwriaeth diogelu data, neu ddeddfwriaeth berthnasol arall;
  • pan fydd wedi cael ei gollfarnu o drosedd berthnasol o dan y Ddeddf, y ddeddfwriaeth diogelu data, neu ddeddfwriaeth berthnasol arall;
  • pan fydd Swyddfa鈥檙 Comisiynydd Gwybodaeth wedi gosod cosbau arno o dan y ddeddfwriaeth diogelu data; a/neu,
  • pan fydd wedi hwyluso neu drwy esgeulustod wedi galluogi mynediad i ddata adnabyddadwy gan berson nad yw鈥檔 achrededig.

Ystyriaethau eraill

30.1 Bydd yr Awdurdod yn rhoi canllawiau pellach ar y gweithdrefnau sy鈥檔 llywodraethu鈥檙 broses o achredu ymchwilwyr o dan y Ddeddf, gan gynnwys unrhyw hyfforddiant gofynnol sy鈥檔 amod achredu. Yn ogystal 芒鈥檙 meini prawf a nodir uchod, dylai ymgeiswyr nodi鈥檙 ystyriaethau canlynol:

  • Bydd achrediad fel ymchwilydd/adolygwr cymheiriaid am gyfnod awtomatig o bum mlynedd. Mae鈥檔 ofynnol i ymchwilwyr/adolygwyr cymheiriaid adnewyddu eu hachrediad unwaith y daw鈥檙 cyfnod hwn i ben;
  • Gofynnir i ymgeiswyr gynnwys unrhyw wybodaeth berthnasol sy鈥檔 ychwanegu at y cais neu鈥檔 tynnu oddi wrtho. Cymerir camau yn ystod y broses gwneud cais i ddilysu manylion adnabod yr ymgeisydd;
  • Dim ond unwaith y bydd angen i ymchwilwyr/adolygwyr cymheiriaid gael eu hachredu (yn amodol ar y gofynion adnewyddu), ond bydd angen cymeradwyo pob prosiect. Yn unol ag egwyddor 6 o鈥檙 Cod Ymarfer Ymchwil, dim ond data sydd wedi鈥檜 prosesu gan brosesydd/proseswyr achrededig y gall ymchwilwyr/adolygwyr cymheiriaid achrededig eu defnyddio at ddiben prosiect ymchwil achrededig;
  • Os bydd yr ymgeisydd yn gweithio tuag at gaffael y lefel sgiliau a nodir uchod, gall fod yn gymwys i wneud cais am achrediad dros dro lle y bydd ymchwilydd ag achrediad llawn wedi cytuno i gyfeirio, goruchwylio a chymryd cyfrifoldeb am yr holl waith a wneir gan yr ymgeisydd, ac ar yr amod y bydd yr ymgeisydd yn bodloni鈥檙 meini prawf a nodir uchod o fewn cyfnod rhesymol o amser. Nid yw鈥檙 ddarpariaeth hon yn gymwys i adolygwyr cymheiriaid, y mae鈥檔 rhaid iddynt feddu ar gymwysterau llawn eu hunain;
  • Bydd gan ymchwilydd/adolygwr cymheiriaid sydd wedi gwrthod achrediad, neu y mae ei achrediad wedi cael ei atal dros dro neu wedi鈥檌 ddileu, yr hawl i apelio i Awdurdod Ystadegau鈥檙 DU fel y corff achredu.
  • Gellir rhannu manylion am yr ymchwilwyr/adolygwyr cymheiriaid hynny y mae eu hachrediad wedi cael ei atal dros dro neu ei ddileu gyda phroseswyr achrededig.

Adran C: Achredu prosiectau ymchwil

31.1. Rhaid i brosiectau ymchwil sy鈥檔 defnyddio data a ddarparwyd o dan y p诺er Ymchwil sicrhau achrediad drwy fodloni鈥檙 amodau canlynol:

Amodau ar gyfer achredu prosiectau ymchwil

Rhaid i鈥檙 gwaith ymchwil gydymffurfio 芒 chyfraith y DU

32.1 Rhaid i鈥檙 gwaith ymchwil gydymffurfio 芒 phob agwedd ar gyfraith y DU, boed wedi鈥檜 deddfu gan Senedd y DU neu, lle mae鈥檙 gweithgareddau prosesu yn digwydd o fewn awdurdodaeth gweinyddiaeth ddatganoledig, gan y ddeddfwrfa ddatganoledig briodol. Rhaid i鈥檙 cais ddangos er boddhad i Awdurdod Ystadegau鈥檙 DU y bydd y person/pobl a fydd yn ymwneud 芒鈥檙 prosiect ymchwil yn cydymffurfio 芒鈥檙 egwyddorion diogelu data mewn perthynas 芒 phob math o ddata personol, fel sy鈥檔 ofynnol gan y ddeddfwriaeth diogelu data, a chaiff cydymffurfiaeth 芒鈥檙 egwyddorion hyn ei monitro.

Rhaid i鈥檙 prosiect ymchwil fod o fudd i鈥檙 cyhoedd

33.1 Mae鈥檙 Ddeddf yn nodi mai un o鈥檙 amodau ar gyfer diogelu data yw bod y gwaith ymchwil y caiff y data eu datgelu ar ei gyfer o fudd i鈥檙 cyhoedd. At ddibenion achredu prosiectau ymchwil, mae鈥檙 Awdurdod yn dehongli budd y cyhoedd fel y鈥檌 diffinnir yn Saesneg fel 鈥榩ublic good鈥 yn Neddf Ystadegau a鈥檙 Gwasanaeth Cofrestru 2007. Er mwyn cael achrediad, rhaid felly bod prif ddiben prosiect ymchwil o fudd i鈥檙 cyhoedd mewn un neu fwy o鈥檙 ffyrdd canlynol:

  • darparu sail tystiolaeth ar gyfer gwneud penderfyniadau polisi cyhoeddus;
  • darparu sail tystiolaeth ar gyfer cyflenwi gwasanaethau cyhoeddus;
  • darparu sail tystiolaeth ar gyfer penderfyniadau sy鈥檔 debygol o fod o fudd sylweddol i economi, cymdeithas neu ansawdd bywyd pobl yn y DU, dinasyddion y DU neu bobl a aned yn y DU sydd bellach yn byw dramor;
  • ailadrodd, dilysu, herio neu adolygu gwaith ymchwil sy鈥檔 bodoli eisoes a chyhoeddiadau ymchwil arfaethedig, gan gynnwys ystadegau swyddogol;
  • ehangu dealltwriaeth o dueddiadau neu ddigwyddiadau cymdeithasol neu economaidd yn sylweddol drwy wella鈥檙 wybodaeth sydd ar gael neu herio dadansoddiadau a dderbyniwyd yn eang; a/neu
  • gwella ansawdd neu gwmpas gwaith ymchwil sy鈥檔 bodoli eisoes neu wella鈥檙 ffordd y caiff ei gyflwyno, gan gynnwys ystadegau swyddogol neu Ystadegau Gwladol.[footnote 11]

Rhaid i鈥檙 gwaith ymchwil a鈥檌 ganlyniadau fod yn dryloyw

34.1 Dylid nodi bwriad ac effaith ddisgwyliedig y gwaith ymchwil er boddhad i鈥檙 Awdurdod fel rhan o鈥檙 cais. Pan fydd y prosiect wedi鈥檌 gwblhau, rhaid sicrhau bod holl ganlyniadau neu ddeilliannau鈥檙 gwaith ymchwil ar gael mewn ffordd agored a hygyrch y gellid disgwyl yn rhesymol iddi fod yn barhaol. Dylid cydnabod yr awdurdod cyhoeddus a ddarparodd y data er mwyn i eraill allu dilysu鈥檙 gwaith ymchwil. Rhaid i鈥檙 ymgeisydd hefyd nodi ymrwymiad clir i ymgysylltu 芒 rhanddeiliaid craidd ar unrhyw ganfyddiadau defnyddiol o鈥檙 gwaith ymchwil er mwyn sicrhau y cyflawnir y budd gorau posibl i鈥檙 cyhoedd.

Rhaid i鈥檙 gwaith ymchwil gyrraedd safonau moesegol priodol

35.1 Rhaid i鈥檙 gwaith ymchwil gyrraedd safonau moesegol sy鈥檔 briodol ar gyfer natur y wybodaeth bersonol a鈥檙 defnydd bwriadedig ohoni, er enghraifft, Egwyddorion Moesegol Pwyllgor Cynghori鈥檙 Ystadegydd Gwladol ar Foeseg Data. Wrth asesu p鈥檜n a fydd y gwaith ymchwil yn cyrraedd safonau moesegol priodol, gall yr Awdurdod ofyn am dystiolaeth i鈥檞 fodloni bod materion moesegol wedi cael eu hystyried a, lle y codwyd pryderon moesegol, bod y cynnig ar gyfer y gwaith ymchwil yn cynnwys strategaeth briodol ar gyfer lliniaru neu leihau effaith y pryderon hyn. Gall hyn gynnwys, ymhlith pethau eraill, tystiolaeth o鈥檙 canlynol:

  • y caiff gwybodaeth y gellid ei defnyddio i adnabod unigolion ei storio鈥檔 gyfrinachol ac yn ddiogel;
  • bod materion cydsyniad wedi鈥檜 hystyried yn briodol ac yr ymdriniwyd 芒 nhw鈥檔 briodol;
  • bod risgiau a chyfyngiadau technolegau newydd wedi鈥檜 hystyried ac wedi鈥檜 lliniaru鈥檔 briodol;
  • bod y cynllun ymchwil yn cynnwys trefniadau goruchwylio gan bobl er mwyn sicrhau bod y dulliau yn gyson 芒 safonau uniondeb ac ansawdd cydnabyddedig;
  • bod safbwyntiau鈥檙 cyhoedd wedi鈥檜 hystyried mewn perthynas 芒鈥檙 data a ddefnyddiwyd a buddiannau canfyddedig y gwaith ymchwil; a/neu
  • bod y trefniadau mynediad, defnyddio a rhannu ar gyfer y data yn dryloyw, ac y c芒nt eu cyfleu鈥檔 glir i鈥檙 cyhoedd mewn fformat hygyrch.

Rhaid i鈥檙 data y gwneir cais amdanynt fod yn briodol ar gyfer y gwaith ymchwil a gynigir

36.1 Rhaid i鈥檙 cais ddangos bod y data y gwneir cais amdanynt yn addas ar gyfer y gwaith ymchwil a gynigir, ac nad yw鈥檙 data y gwneir cais amdanynt yn mynd y tu hwnt i ofynion y prosiect ymchwil.

Rhaid enwi pob ymchwilydd a sicrhau ei fod wedi鈥檌 achredu

37.1 Rhaid i gais y prosiect enwi pob ymchwilydd a fydd yn cael mynediad at y data. Ni all unrhyw ymchwilydd gael mynediad at y data cyn cael ei achredu (gan gynnwys achrediad dros dro) o dan y cynllun hwn. Pan fydd ymchwilwyr yn gadael neu鈥檔 cael eu hychwanegu at y prosiect ymchwil, rhaid rhoi gwybod i鈥檙 Awdurdod am y newid.

Tynnu achrediad yn 么l

38.1 Gellir atal achrediad dros dro neu ei dynnu鈥檔 么l gan brosiect ymchwil achrededig am un neu fwy o鈥檙 rhesymau canlynol:

  • ni chaiff y prosiect ymchwil bellach ei gynnal yn unol 芒鈥檙 Cod Ymarfer;
  • nid oes gan y prosiect ymchwil gymeradwyaeth foesegol bellach, lle y rhoddwyd cymeradwyaeth o鈥檙 fath yn flaenorol;
  • nid yw鈥檙 prosiect ymchwil bellach o fudd i鈥檙 cyhoedd;
  • rhoddwyd gwybod i Swyddfa鈥檙 Comisiynydd Gwybodaeth am achos o dorri diogelwch data mewn perthynas 芒鈥檙 prosiect ymchwil; a/neu
  • mae llys wedi gorchymyn y dylid rhoi鈥檙 gorau i鈥檙 gwaith ymchwil.

Ystyriaethau eraill

39.1 Bydd yr Awdurdod yn rhoi canllawiau pellach ar y gweithdrefnau a鈥檙 prosesau sy鈥檔 llywodraethu鈥檙 broses o achredu prosiectau ymchwil o dan y ddeddfwriaeth. Yn ogystal 芒鈥檙 meini prawf a nodir uchod, dylai ymgeiswyr nodi鈥檙 ystyriaethau ychwanegol canlynol:

  • Dylai鈥檙 cais gynnwys syniad o hyd y prosiect.
  • Gellir achredu prosiect am uchafswm o bum mlynedd. Bydd angen adnewyddu鈥檙 achrediad ar gyfer y gwaith ymchwil ar 么l y cyfnod hwn os bydd angen parhau i gael mynediad at y data.
  • Gellir dyfarnu, cynnal neu dynnu achrediad yn 么l mewn perthynas 芒 phrosiectau ymchwil, yn annibynnol ar statws achredu ymchwilwyr neu broseswyr sy鈥檔 ymwneud 芒 defnyddio neu brosesu鈥檙 data ar gyfer y prosiect, ar yr amod nad yw鈥檙 prosiect ymchwil yn mynd yn groes i unrhyw rai o鈥檙 meini prawf a nodir uchod. Mae hyn yn golygu nad yw tynnu achrediad yn 么l neu wrthod achrediad i ymchwilydd o reidrwydd yn golygu y bydd yn rhaid tynnu achrediad yn 么l neu wrthod achrediad i brosiect ymchwil. Serch hynny, yn unol ag Egwyddor 6 o鈥檙 Cod Ymarfer Ymchwil, dim ond pan fydd pob parti perthnasol wedi鈥檌 achredu鈥檔 briodol ac am y cyfnod y bydd pob parti perthnasol yn parhau鈥檔 achrededig y gellir cynnal gwaith ymchwil. Pan gaiff achrediad ei wrthod i brosiect ymchwil, neu pan gaiff achrediad prosiect ei atal dros dro neu ei ddileu, bydd gan yr ymgeisydd/ymgeiswyr yr hawl i apelio i Awdurdod Ystadegau鈥檙 DU fel y corff achredu.

  1. Mae鈥檙 Rhan hon yn cynnwys y Cod Ymarfer sy鈥檔 ofynnol o dan adran 70(1) o Ddeddf yr Economi Ddigidol 2018.听

  2. Mae鈥檙 rhwymedigaethau cyfreithiol hyn yn berthnasol i鈥檙 鈥淏wrdd Ystadegau鈥, sef Bwrdd Awdurdod Ystadegau鈥檙 DU. O dan awdurdod y Bwrdd, mae gwaith Awdurdod Ystadegau鈥檙 DU a鈥檌 swyddfa weithredol, y Swyddfa Ystadegau Gwladol, yn gweithredu鈥檙 dyletswyddau sydd wedi鈥檜 cynnwys yn Neddf yr Economi Ddigidol. O fewn y ddogfen hon, defnyddir 鈥測r Awdurdod鈥 i adlewyrchu鈥檙 trefniant hwn.听

  3. Mae鈥檙 Ddeddf yn nodi, i鈥檙 graddau bod gan awdurdod cyhoeddus swyddogaethau sy鈥檔 ymwneud 芒 darparu gwasanaethau iechyd neu ofal cymdeithasol i oedolion, nad yw adran 64 o鈥檙 Ddeddf yn awdurdodi datgelu鈥檙 wybodaeth a ddelir gan yr awdurdod cyhoeddus hwnnw mewn perthynas 芒鈥檙 swyddogaethau hynny.听

  4. Fel y鈥檌 newidiwyd neu y鈥檌 disodlwyd o bryd i鈥檞 gilydd.听

  5. Ystyr 鈥測 ddeddfwriaeth diogelu data鈥 yw鈥檙 fframwaith diogelu data llawn a chymwys a nodir yn Neddf Diogelu Data 2018. Mae hyn yn cwmpasu prosesu cyffredinol (gan gynnwys y Rheoliad Cyffredinol ar Ddiogelu Data a鈥檙 GDPR cymhwysol), prosesu gan asiantaethau gorfodi鈥檙 gyfraith, a phrosesu gan wasanaethau cudd-wybodaeth. Mae cyfeiriadau at 鈥淒deddf Diogelu Data 1998鈥 yn Neddf yr Economi Ddigidol 2017 wedi鈥檜 diwygio i 鈥測 ddeddfwriaeth diogelu data鈥 gan Ddeddf Diogelu Data 2018.听

  6. Mae鈥檙 egwyddor 鈥榓tebolrwydd鈥 yn Erthygl 5(2) o鈥檙 GDPR yn golygu bod rheolwyr data yn gyfrifol am ddangos eu bod wedi cydymffurfio 芒鈥檙 egwyddor 鈥榗yfreithlondeb, tegwch a thryloywder鈥, ynghyd 芒鈥檙 egwyddorion eraill a nodir yn erthygl 5(1).听

  7. Bydd hyn yn cynnwys cydymffurfiaeth ag Erthygl 28 GDPR, sy鈥檔 nodi鈥檙 wybodaeth y bydd angen ei chynnwys yn y ddogfennaeth berthnasol (gan gynnwys dogfennaeth achredu) sy鈥檔 sail i unrhyw drefniant rhannu data o dan y pwerau hyn.听

  8. Adran 71(2)(a), (b) a (c) o Ddeddf yr Economi Ddigidol 2017.听

  9. Gweler adran 66(2), (5), (10), (11) a (12), adran 67(2), (5) ac (8), adran 68(2),(5) ac (8) ac adran 69(2), (5) ac (8) o Ddeddf yr Economi Ddigidol 2017.听

  10. /government/collections/government-security,,听

  11. Gwneir penderfyniad o ran p鈥檜n a ddylid achredu prosiect penodol ai peidio ar sail achosion unigol, a bydd yn dibynnu ar natur y cynnig penodol dan sylw. Mae鈥檙 rhestr uchod yn adlewyrchu鈥檙 rheini sy鈥檔 gysylltiedig 芒鈥檙 cynllun Ymchwilwyr Cymeradwy presennol o dan Ddeddf Ystadegau a鈥檙 Gwasanaeth Cofrestru 2007: gweler 听

Back to top