Defnyddio gwasanaethau allanol
Mae'r Rheoliad Diogelu Data Cyffredinol (GDPR) yn gosod rheoliadau llymach ar sut rydym yn caniatáu i drydydd partïon ymdrin â data ar ein rhan. O bryd i'w gilydd, mae'r Brifysgol yn defnyddio cyrff neu gwmnïau allanol i brosesu data ar ei rhan. Pan fydd hyn yn digwydd ar raddfa sylweddol fe ddylai fod contract a chytundeb prosesu data ar waith bob amser.
Serch hynny, efallai na fydd staff a myfyrwyr - neu bobl eraill sy'n ymgymryd ag amryw ddyletswyddau ar ran y Brifysgol - yn sylwi bod gwasanaethau cyffredin a sylfaenol a ddefnyddiwn yn rhad ac am ddim yn cyfrif fel proseswyr trydydd-parti sy'n derbyn data personol gennym ar ryw ffurf. Mae rhaglenni ar gyfer holiaduron, trefnu cyfarfodydd, cyfathrebu â grwpiau mawr, ayyb, i gyd o fewn y categori hwn. Mewn achosion fel hyn, yn aml fe fyddwn yn ddarostyngedig i'w Telerau a'u Hamodau gwasanaeth ac mae'n bosib na fyddant yn cyd-fynd â gofynion y GDPR.
Mae'n bosib na fydd modd rhoi cyngor penodol ar bob un o'r gwasanaethau sydd ar gael (yn enwedig gan fod y telerau a'r amodau yn cael eu newid dros amser) ond fe ddylid cofio'r cyngor isod wrth ystyried pa wasanaeth allanol i'w ddefnyddio os nad oes dewis mewnol i'w gael.
1. Darllenwch y Telerau a'r Amodau
Darllenwch y Telerau a'r Amodau Gwasanaeth bob amser. A ydynt yn rhoi ystyriaeth ddigonol i ddiogelwch data ac yn rhoi digon o fanylion am y dechnoleg a ddefnyddir? A ydynt yn rhoi manylion am ba mor hir y byddant yn cadw data personol neu pwy fydd yn cael ei ddefnyddio? A ydynt yn nodi eu bod yn cydymffurfio â'r Rheoliadau Diogelu Data Cyffredinol? Os na cheir digon o esboniad ar yr elfennau hynny, byddai'n ddoeth osgoi defnyddio'r gwasanaeth.
2. Ble fydd y data yn cael ei gadw?
Mae'n bwysig gwybod a yw'r data a roddir iddyn nhw (gennych chi neu Prifysgol Aberystwyth yn uniongyrchol, neu gan yr unigolion eu hunain) yn cael ei gadw ar weinyddion o fewn yr UE/Ardal Economaidd Ewropeaidd neu yn y Deyrnas Unedig. Os na roddir y manylion hynny, neu os ydynt yn dweud bod eu gweinyddion y tu allan i'r Undeb Ewropeaidd/Ardal Economaidd Ewropeaidd, ni ddylech ddefnyddio'r darparwr hwnnw heb drafod y mater â'r Swyddog Diogelu Data.
3. Holiaduron
Mae'n rhaid i unrhyw wybodaeth a gasglir ar holiaduron ar-lein gael ei wneud mewn modd sy'n cydymffurfio â'r ddeddfwriaeth diogelu data (sef GDPR a'r Ddeddf Diogelu Data 2018) heblaw am sefyllfaoedd lle mae'r holiadur yn hollol ddienw a heb gyswllt ag unrhyw ddata a all arwain at adnabod unigolion.
Mae sawl gwasanaeth arolwg / holiaduron ar-lein, ar hyn o bryd yn cadw data y tu allan i'r Ardal Economaidd Ewropeaidd/UE, ac felly mae hynny ynddo'i hun yn golygu nad ydynt yn cydymffurfio. Mae Prifysgol Aberystwyth, ynghyd â'r rhan fwyaf o Brifysgolion ym Mhrydain, yn argymell defnyddio 'JISC Online Surveys (gynt BOS)' fel arfer. Mae Smartsurvey hefyd yn cadw eu data o fewn Prydain ac maent yn dweud eu bod yn cydymffurfio'n gyffredinol â GDPR.
Mae'n rhaid i bob holiadur gynnwys hysbysiad diogelu data neu breifatrwydd. Os yw'n fwriad i'r holiadur fod yn ddienw, rhaid datgan hynny'n glir hefyd.
4. Gwasanaethau ar-lein - calendrau, trefnu cyfarfodydd a digwyddiadau
Yma eto fe ddylid fod yn ymwybodol o'r telerau a'r amodau, yn enwedig unrhyw wybodaeth sy'n ymwneud â lleoliad cadw'r data. Pa mor hir y byddant yn cadw data? Pa hawliau sydd ganddynt dros unrhyw gynnwys ychwanegol megis ffotograffau neu destunau a lwythir? Yn ddelfrydol fe ddylech allu dileu unrhyw ddata a gedwir mewn cysylltiad â defnyddio'r gwasanaeth, yn hytrach na gorfod dibynnu ar ddarparwr y gwasanaeth, yn enwedig os nad ydynt yn datgan cyfnod cadw data.
5. Gwasanaethau swmp-bostio
Ymdrinnir yn benodol ag ebostio er mwyn marchnata yn y ddeddfwriaeth ar gyfathrebu'n electronig, o safbwynt diogelu data a phreifatrwydd, ac felly mae'n hanfodol trafod unrhyw brosiectau ebostio/marchnata newydd â'r Swyddog Diogelu Data cyn dechrau. Os oes modd, dylid osgoi gwasanaethau sy'n cynnig hyn ar-lein/yn y cwmwl. Os nad oes modd osgoi gwasanaeth o'r fath, gwiriwch y Telerau a'r Amodau am y materion uchod. Argymhellwn eich bod yn defnyddio un o'r darparwyr mwyaf, gan eu bod nhw'n debycach o gynnig gwasanaethau a phreifatrwydd sy'n cydymffurfio â GDPR.
6. Cadw Dogfennau
Mae’r Brifysgol yn darparu Sharepoint ac OneDrive yn ogystal â gyriannau ar y cyd a leolir yn y Brifysgol ar gyfer cadw dogfennau. Fel y nodwyd eisoes, fe ddylech osgoi offer cadw eraill, yn enwedig gwasanaethau yn y cwmwl lle mae'r gweinyddion yn cadw data y tu allan i'r Ardal Economaidd Ewropeaidd/UE. Os nad oes dewis arall i'w weld, sylwch ar bwyntiau 1 a 2 uchod, a chysylltwch â'r Swyddog Diogelu Data.