Cymraeg
General Data Protection Regulation (GDPR)
The General Data Protection Regulation or GDPR came into effect in the 2017-2018 academic year. This impacts on how personal data is collected and used by organisations, including the University, the Students’ Union and our student groups. There will be an increase in penalties for organisations (data controllers) and, more notably, for individuals (data processors). The SU has made changes to the way it operates over the summer to comply with the GDPR and all student groups must also be ready to do so from Freshers 2017.
Due to the GDPR, we highly recommend that you do not collect personal information under any circumstance, instead using the information you are given access to through the sale of memberships and tickets. Directing people to a Facebook Group is an easy alternative to collecting email addresses and other data. However, if you do collect personal data, please read and follow the below information.
What is Personal Data?
Personal data includes any information that relates to an “identified or identifiable” person. Within student groups, examples of personal data include the names, email addresses, student numbers and phone numbers of members and non-members that you may collect or are given access to via cardiffstudents.com, plus any data collected that is specific to the activities of your student group.
What do you need to do differently?
If you collect personal data from individuals, you must get their explicit permission for everything you will do with the data you collect. This can be done by simply asking an extra question when producing surveys. For example, if you are collecting information for an additional mailing list, you may ask…
“I give consent for this information to be used to contact me regarding events and trips, membership, offers and news from the xxxxx Society.”
You would also need a tick box or drop-down option for individuals to explicitly agree to this. You cannot get implicit permission (i.e. “By submitting this survey I give permission for my data to be used…).
We recommend using Google Forms or similar to collect personal information. This can explicitly ask for permission and hides data from people submitting data. It will also timestamp when the survey is submitted, creating an audit trail in case complaints are made.
Once you have collected the information, it must only be used for the purposes it was collected. You must also promptly respond to requests for data to be removed from your records or for individuals to unsubscribe from mailing lists. You should include unsubscribe instructions in all email communications.
Third Parties
The Students’ Union, your group or individuals using data may be fined by the Information Commissioner for the misuse of data. This includes making data available – intentionally or accidentally – to third parties, including sponsors, other organisations and anyone who is not a committee member. Therefore, you should not give sponsors any personal data from your records or sell any personal data to another organisation. This may be considered a disciplinary offense.
When contacting people via email, always use the BCC option. This means that recipients will not be able to see other recipients email address and therefore prevents them from capturing and misusing this data. We highly recommend using the Mailing function under your admin tools on cardiffstudents.com to contact individuals, as this automatically BCCs all recipients for you.
Data Security
Storing data securely is another important part of proper data use. Make sure that data is stored on devices with suitable passwords and do not store data on a shared device. When transferring data on USB sticks or other devices, make sure they are kept securely and are not left behind in a shared computer or in a public place.
How could this affect you?
As a committee member, you are a data processor and therefore have a responsibility to handle personal data in an appropriate way in line with GDPR. Failure to follow this guidance may result in disciplinary action from the Students’ Union and/or the University as well as potential fines from the Information Commissioner’s Office.
Y Rheoliad Diogelu Data Cyffredinol
Ym mis Mai 2018, bydd y Rheoliad Diogelu Data Cyffredinol yn dod i rym. Bydd hyn yn effeithio ar sut mae data personol yn cael ei gasglu a’i ddefnyddio gan sefydliadau, gan gynnwys y Brifysgol, Undeb y Myfyrwyr a’n grwpiau myfyrwyr. Bydd cynnydd mewn cosbau ar gyfer sefydliadau (rheolwyr data) ac yn fwy nodedig, ar gyfer unigolion (proseswyr data). Mae’r Undeb wedi gwneud newidiadau i’r ffordd y mae’n gweithredu dros yr haf i gydymffurfio gyda’r Rheoliad a bydd yn rhaid i holl grwpiau myfyrwyr fod yn barod i wneud hynny o gyfnod Y Glas 2017.
Oherwydd y rheoliad, rydym yn argymell yn gryf nad ydych yn casglu gwybodaeth bersonol o dan unrhyw amgylchiadau, yn hytrach yn defnyddio’r wybodaeth rydych yn ei dderbyn drwy werthu aelodaeth a thocynnau. Mae cyfeirio pobl at Grwp Facebook yn opsiwn hawdd arall i gasglu e-byst neu ddata arall. Fodd bynnag, os rydych yn casglu data personol, darllenwch a dilynwch y wybodaeth isod.
Beth yw Data Personol?
Mae data personol yn cynnwys unrhyw wybodaeth sy’n ymwneud â pherson “adnabyddedig”. O fewn grwpiau myfyrwyr, mae enghreifftiau o ddata personol yn cynnwys enwau, cyfeiriadau e-bost, rhifau myfyrwyr a rhifau ffôn aelodau a’r rheini nad ydynt yn aelodau y gallwch gasglu neu a rhoddir mynediad iddynt drwy cardiffstudents.com, ac unrhyw ddata a gasglwyd sydd yn benodol i weithgareddau eich grwp myfyrwyr.
Beth sydd angen i chi wneud yn wahanol?
Os rydych yn casglu data personol gan unigolion, mae’n rhaid i chi gael caniatâd penodol ar gyfer popeth a wnewch chi gyda’r data hwnnw. Gellir gwneud hyn drwy ofyn cwestiwn ychwanegol wrth lunio arolygon. Er enghraifft, os rydych yn casglu gwybodaeth am restr e-bostio ychwanegol, gallwch ofyn.
“Rhoddaf ganiatâd i’r wybodaeth hon gael ei ddefnyddio i gysylltu â mi ynghylch digwyddiadau a theithiau, aelodaeth, cynigion a newyddion gan y Gymdeithas xxxxx.”
Bydd hefyd angen opsiwn tic mewn bocs neu estyn i lawr ar gyfer myfyrwyr sy’n cytuno’n benodol i hyn. Ni allwch gael caniatâd anuniongyrchol (e.e. “Drwy gyflwyno’r arolwg hwn rwy’n rhoi caniatâd i fy nata gael ei ddefnyddio...).
Rydym yn argymell defnyddio Ffurflenni Google neu’n debyg i gasglu gwybodaeth bersonol. Gall hyn ofyn am ganiatâd yn benodol a chuddio data gan bobl yn cyflwyno data. Fe fydd hefyd yn nodi’r amser pan gyflwynir yr arolwg, yn creu trywydd archwilio rhag ofn y gwneir cwynion.
Unwaith i chi gasglu’r wybodaeth, mae ond yn gallu cael ei ddefnyddio ar gyfer y dibenion y cafodd ei gasglu. Rhaid i chi ymateb i geisiadau am gael gwared ar ddata o’ch cofnodion neu i unigolion gael eu datdanysgrifio o rhestrau e-byst yn brydlon. Dylech gynnwys cyfarwyddiadau tanysgrifiad yn eich holl ohebiaeth e-byst.
Trydydd Partïon
Gall Undeb y Myfyrwyr, eich grwp neu unigolion yn defnyddio data dderbyn dirwy am gamddefnyddio data. Mae hyn yn cynnwys sicrhau bod data ar gael – yn fwriadol neu’n ddamweiniol – i drydydd partïon, gan gynnwys noddwyr, sefydliadau eraill ac unrhyw un nad yw’n aelod o’r pwyllgor. Felly, ni ddylech roi unrhyw ddata personol o’ch cofnodion i’ch noddwyr na gwerthu unrhyw ddata personol i sefydliad arall.
Wrth gysylltu â phobl dros e-bost, defnyddiwch yr opsiwn BCC. Mae hyn yn golygu nad fydd y derbynwyr yn gallu gweld cyfeiriadau e-byst y lleill ac yna yn eu hatal rhag cipio a chamddefnyddio’r data hwn. Rydym yn argymell yn gryf i chi ddefnyddio’r swyddogaeth Bostio o dan eich offer gweinyddwr ar cardiffstudents.com i gysylltu ag unigolion, gan fod hwn yn copïo’n ddall yn awtomatig.
Diogelwch Data
Mae storio data yn ddiogel yn rhan bwysig arall o ddefnyddio data yn briodol. Gwnewch yn siwr bod data wedi’i storio ar ddyfeisiau sydd â chyfrineiriau a pheidiwch â stori data ar ddyfais a rennir. Wrth drosglwyddo data ar ffyn USB neu ddyfeisiau eraill, gwnewch yn siwr eu bod yn cael eu cadw’n ddiogel a pheidio â’u gadael ar gyfrifiadur a rennir neu mewn man cyhoeddus.
Sut gallai hyn effeithio arnoch chi?
Fel aelod o’r pwyllgor, rydych yn brosesydd data ac felly mae gennych gyfrifoldeb i drin data personol mewn modd priodol yn unol â’r Rheoliad Diogelu Data Cyffredinol. Gall fethiant i ddilyn y canllawiau hyn arwain at gamau disgyblu gan Undeb y Myfyrwyr a/neu’r Brifysgol yn ogystal â dirwyon posibl gan Swyddfa’r Comisiynydd Gwybodaeth.