Mae deddfwriaeth diogelu data yn nodi, pryd bynnag y defnyddiwch brosesydd, fod yn rhaid i chi ffurfioli'r gydberthynas waith mewn contract ysgrifenedig sy'n amlinellu'r canlynol:
y pwnc, natur a diben y prosesu
rhwymedigaethau a hawliau'r rheolydd data
hyd y cyfnod prosesu a'r
mathau o ddata personol a chategorïau o destunau data
Rhaid i'r contract hefyd nodi rhwymedigaethau penodol ar y prosesydd, gan gynnwys gwneud y canlynol:
cydymffurfio â'ch cyfarwyddiadau
bod yn ddarostyngedig i ddyletswydd cyfrinachedd
cadw data personol yn ddiogel a'ch hysbysu am unrhyw achos o dorri amodau diogelwch data
cadw cofnodion ysgrifenedig o'r gweithgareddau prosesu y mae'n eu cyflawni ar eich rhan
dim ond defnyddio is-brosesydd gyda'ch caniatâd
ildio i archwiliadau ac arolygiadau a rhoi pa wybodaeth bynnag sydd ei hangen arnoch i sicrhau y cydymffurfir â deddfwriaeth diogelu data gyfredol
dileu neu ddychwelyd unrhyw ddata personol fel y gofynnir amdanynt ar ddiwedd y contract
Fel rheolydd data, chi sy'n bennaf cyfrifol am sicrhau bod data personol yn cael eu prosesu yn unol ag egwyddorion diogelu data.
Fodd bynnag, os bydd prosesydd yn methu â chyflawni unrhyw un o'i rwymedigaethau, neu'n mynd yn groes i'ch cyfarwyddiadau, gall hefyd orfod talu iawndal neu gall gael dirwy neu gosb neu fesurau unioni eraill. Dylech ystyried y canllawiau a ddarperir gan Swyddfa'r Comisiynydd Gwybodaeth ar gontractau a rhwymedigaethau rhwng rheolyddion a phroseswyr o ran eich contractau â phroseswyr data.
Penodi proseswyr data
Mae deddfwriaeth diogelu data yn ei gwneud yn ofynnol i chi ond penodi prosesydd a all roi sicrwydd digonol y caiff gofynion y ddeddfwriaeth diogelu data gyfredol eu bodloni.
Dylech sicrhau bod gweithgarwch diogelu data yn rhan annatod o unrhyw dendr (gan ddogfennu eich proses gwneud penderfyniadau) a bod y gofynion a nodir yn ein canllawiau yn cael eu bodloni mewn unrhyw gontract a ddyfernir.
Dylech hefyd sicrhau bod eich contractwyr neu eich cyflenwyr presennol yn ymwybodol o'u rhwymedigaethau o dan y ddeddfwriaeth diogelu data gyfredol, a bod unrhyw gontractau presennol yn bodloni'r gofynion a nodir yn ein canllawiau.