Adrodd Mynediad diawdurdod at ddata
Dylai staff ddeall y gwahaniaeth rhwng digwyddiad a mynediad diawdurdod at ddata:
Mae digwyddiad yn digwydd lle bo risg y gall data personol gael ei beryglu. Os ymdrinnir ag ef yn gyflym, yn aml gellir rheoli digwyddiad cyn iddo droi'n fynediad diawdurdod.
Mae mynediad diawdurdod at ddata personol yn digwydd pan fo methiant o ran diogelwch sy'n arwain at ddinistrio, colli, newid, datgelu diawdurdod, neu fynediad diawdurdod i ddata personol. Mae enghreifftiau o fynediad diawdurdod at ddata'n cynnwys:
- Colli neu ddwyn data mewn unrhyw fformat (e.e. papurau a gymerwyd o gar, papurau a adawyd ar y trên, papurau a adawyd yn y llungopïwr, rhyng-gipio'r post, lawrlwytho heb awdurdod)
- Colled neu ladrad o offer a ddefnyddir i storio Gwybodaeth y Brifysgol (e.e. gliniadur, ffôn symudol, ffon USB) N.B. Dylid amgryptio pob dyfais storio symudadwy
- Cyfrif defnyddiwr TG wedi'i beryflu (e.e.ffug-negeseuon, hacio, rhannu cyfrinair)
- Blagio lle ceir gwybodaeth yn cael ei trwy dwyll (mae rhywun yn honni ei fod yn rhywun arall)
- Datgelu damweiniol neu anawdurdodedig o Wybodaeth y Brifysgol (e.e. e-bost neu lythyr i'r derbynnydd anghywir neu ganiatâd system anghywir/methiant hidlo)
- Llygru neu addasu anawdurdodedig ar gofnodion hanfodol (e.e. newid cofnodion meistr)
- Peryglu systemau neu offer cyfrifiadurol e.e. firws, maleiswedd, ymosodiad atal gwasanaeth)
- Torri i mewn i leoliad lle delir gwybodaeth sensitig neu lle ceir offer prosesu gwybodaeth hanfodol megis gweinyddion
PWYSIG
Rhaid rhoi gwybod i dpo@glyndwr.ac.uk ac Uwch-berchennog Risg Gwybodaeth [SIRO] y Brifysgol p.gibbs@glyndwr.ac.uk am bob Digwyddiad neu Fynediad Di-awdurdod. Mae Gweithdrefn Digwyddiadau Llywodraethu Gwybodaeth Difrifol ar gael hefyd. Gallwn wedyn asesu, lleihau a rhwystro digwyddiadau lle bo modd.
Dylech gofio, os byddwch yn adrodd am ddigwyddiad yn gyflym, y gallwn yn aml ei reoli ac atal nrhyw ddata personol rhag cael ei beryglu.
Pe bai mynediad di-awdurdod yn digwydd sy'n creu risg i hawliau unigolyn, mae gennym ddyletswydd i adrodd hyn i swyddfa'r Comisiynwyr Gwybodaeth ('ICO') o fewn 72 awr. Efallai y bydd angen i ni hefyd hysbysu'r unigolyn y mae mynediad di-awdurdod wedi digwydd i'w ddata, o fewn yr un cyfnod. Y SIRO ar y cyd â'r Is-Ganghellor sy'n penderfynu ar adrodd ar fynediadau diawdurdod i'r ICO.
Mae'r dirwyon wedi cynyddu i uchafswm o 20m ewro neu 4% o drosiant byd-eang (p'un bynnag sy'n uwch)
Mae gan bob ysgol yn y Brifysgol Arweinydd Busnes ar gyfer cydymffurfiaeth GDPR.