Er mwyn i'r gwaith o brosesu data personol fod yn gyfreithlon, rhaid i'r data gael eu prosesu ar ‘sail gyfreithlon’.1
Mae hyn yn cynnwys:
Rhwymedigaeth gyfreithiol: mae angen eu prosesu er mwyn cydymffurfio â'r gyfraith (heb gynnwys rhwymedigaethau cytundebol); neu
Tasg gyhoeddus: mae angen eu prosesu er mwyn cyflawni tasg er budd y cyhoedd neu wrth gyflawni'r awdurdod swyddogol sydd gennych fel y rheolydd data; neu
Buddiannau dilys: mae angen eu prosesu er mwyn eich buddiannau dilys chi neu fuddiannau dilys trydydd parti oni fydd rheswm da dros ddiogelu data personol yr unigolyn sy'n drech na'r buddiannau dilys hynny. (Ni all hyn fod yn gymwys os ydych yn awdurdod cyhoeddus sy'n prosesu data er mwyn cyflawni eich tasgau swyddogol); neu
Mae prosesu data personol heb sail gyfreithlon yn peri'r risg o weithgarwch gorfodi, gan gynnwys cosbau sylweddol gan Swyddfa’r Comisiynydd Gwybodaeth. Am ragor o wybodaeth, gweler ein canllawiau ar dorri amodau a sancsiynau diogelu data.
Mae Swyddfa'r Comisiynydd Gwybodaeth wedi nodi, ar y cyfan, bod achosion o brosesu data personol gan Swyddogion Cofrestru Etholiadol a Swyddogion Canlyniadau yn debygol o ddod o dan y sail gyfreithlon fod hynny'n angenrheidiol er mwyn cyflawni tasg er budd y cyhoedd neu wrth gyflawni awdurdod swyddogol y rheolydd.
Chi ddylai benderfynu beth yw'r sail gyfreithlon dros brosesu'r data, a dogfennu eich dull o weithredu.
Rhaid i chi nodi'n glir yn eich hysbysiad preifatrwydd ar ba sail gyfreithlon rydych yn dibynnu er mwyn prosesu'r data a dyfynnu cyfraith berthnasol y DU lle y bo'n gymwys. Gallwch ddibynnu ar fwy nag un sail gyfreithlon os byddwch o'r farn bod hyn yn briodol.