Cyfrinachedd: arfer da wrth ymdrin â gwybodaeth cleifion

Atodiad cyfreithiol

Ni cheir cyfraith gyffredinol sy’n llywodraethu’r broses o ddatgelu gwybodaeth gyfrinachol. Mae’r gyfraith gyffredin a chyfreithiau eraill sy’n mynnu neu sy’n caniatáu datgelu gwybodaeth cleifion yn rhyngweithio mewn ffyrdd cymhleth ac nid oes modd penderfynu a fyddai defnyddio neu ddatgelu gwybodaeth claf yn gyfreithlon trwy ystyried unrhyw agwedd ar y gyfraith ar ei phen ei hun.

Mae’r adran hon yn nodi rhai o elfennau allweddol y gyfraith sy’n berthnasol i’r broses o ddefnyddio a datgelu gwybodaeth cleifion, ond nid yw’n gynhwysfawr. Yn ogystal, ni fwriedir iddi ddisodli’r cyngor cyfreithiol annibynnol ddiweddaraf. Os ydych yn ansicr ynghylch y sail gyfreithiol dros gais am wybodaeth, dylech ofyn am eglurder gan yr unigolyn sy’n gwneud y cais ac os bydd angen, dylech geisio cyngor cyfreithiol annibynnol.

Yn ogystal, rydym wedi cyhoeddi taflen ffeithiau fanylach, Cyfrinachedd: deddfwriaeth allweddol, y mae modd i chi ei gweld ar ein tudalen arweiniad cyfrinachedd trwy droi at ein gwefan. (Saesneg yn unig)

Ffynonellau cyfraith ynghylch cyfrinachedd, diogeludata a phreifatrwydd

Y gyfraith gyffredin

Yn gyffredinol, bydd gwybodaeth y bydd meddygon yn ei chael wrth gyflawni eu cyfrifoldebau proffesiynol yn gyfrinachol dan y gyfraith gyffredin. Mae’r ddyletswydd hon yn deillio o gyfres o ddyfarniadau llys, sydd wedi pennu’r egwyddor na ddylid defnyddio gwybodaeth a roddwyd neu a sicrhawyd mewn ffordd gyfrinachol, na’i datgelu ymhellach, ac eithrio mewn amgylchiadau penodol. Mae hyn yn golygu na ddylai meddyg ddatgelu gwybodaeth gyfrinachol, oni bai bod sail gyfreithiol dros wneud hynny.

Derbynnir yn gyffredinol bod y gyfraith gyffredin yn caniatáu datgelu gwybodaeth gyfrinachol:

a. os bydd y claf yn rhoi eu caniatâd

b. os yw hynny’n ofynnol yn unol â’r gyfraith neu er mwyn ymateb i orchymyn llys

c. os oes modd cyfiawnhau hynny er budd y cyhoedd.

Ond ni ellir ystyried y gyfraith gyffredin ar ei phen ei hun. Hyd yn oed os caniateir datgelu gwybodaeth gyfrinachol dan y gyfraith gyffredin, rhaid i’r datgeliad fodloni gofynion cyfraith diogelu data o hyd.

Cyfraith Diogelu Data (DU)

Mae’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR), y mae Deddf Diogelu Data 2018 yn ychwanegu ato, yn rheoleiddio’r gwaith o brosesu data personol am unigolion byw yn y DU. Mae’n nodi cyfrifoldebau rheolwyr data wrth iddynt brosesu data, yn ogystal â nifer o hawliau ar gyfer unigolion, gan gynnwys hawliau mynediad i’w gwybodaeth. Swyddfa’r Comisiynydd Gwybodaeth (ICO) yw’r awdurdod sy’n gyfrifol am arddel hawliau gwybodaeth yn y DU. Mae modd gweld arweiniad manwl ynghylch cydymffurfio â chyfraith diogelu data ar wefan yr ICO

Mae GDPR yn diffinio data personol fel:

‘unrhyw wybodaeth sy’n ymwneud ag unigolyn a nodir neu unigolyn naturiol adnabyddadwy (‘gwrthrych y data’); mae unigolyn naturiol adnabyddadwy yn rhywun y gellir eu hadnabod, yn uniongyrchol neu’n anuniongyrchol, yn arbennig trwy gyfeirio at fanylyn adnabod megis enw, rhif adnabod, data lleoliad, manylyn adnabod ar-lein neu at un ffactor neu fwy sy’n benodol i hunaniaeth gorfforol, ffisiolegol, genetig, meddyliol, economaidd, diwylliannol neu gymdeithasol yr unigolyn naturiol hwnnw’

Mae GDPR yn diffinio rheolwr data fel ‘yr unigolyn naturiol neu gyfreithiol, awdurdod cyhoeddus, asiantaeth neu gorff arall sydd naill ai ar eu pen eu hunain neu ar y cyd ag eraill, yn pennu’r dibenion a’r ffordd y caiff data personol ei brosesu’. Gall unigolion fod yn rheolwyr data eu hunain (er enghraifft, os ydynt yn bartneriaid mewn practis cyffredinol neu’n dal data mewn perthynas â chleifion y maent yn eu trin yn breifat) ond mewn nifer o achosion, y rheolwr data fydd cyflogwr y gweithiwr meddygol proffesiynol.

Seiliwyd GDPR ar chwech egwyddor diogelu data, ac mae’n darparu amrediad o hawliau i unigolion. Mae’r egwyddorion yn nodi bod yn rhaid bod data personol:

  • yn cael ei brosesu mewn ffordd gyfreithlon, teg a thryloyw
  • yn cael ei brosesu at ddibenion penodedig, amlwg a chyfreithlon ac nid mewn unrhyw ffordd nad yw’n cyd-fynd â’r dibenion hynny
  • yn ddigonol, yn berthnasol ac yn cael ei gyfyngu i’r hyn sy’n angenrheidiol mewn perthynas â’r dibenion
  • yn fanwl ac yn cynnwys y wybodaeth ddiweddaraf
  • na ddylid ei gadw am gyfnod hwy nag sydd angen ei gadw
  • bod yn ddiogel.

Mae egwyddor gyntaf GDPR yn nodi bod yn rhaid i ddata gael ei brosesu mewn ffordd gyfreithlon a theg. Mae hyn yn golygu:

  1. na ddylid prosesu gwybodaeth cleifion mewn ffordd sy’n torri statud neu’r gyfraith gyffredin. Er enghraifft, os byddai datgelu gwybodaeth yn torri dyletswydd cyfrinachedd y gyfraith gyffredin, byddai’n anghyfreithlon hefyd dan gyfraith diogelu data
  2. bod yn rhaid trin gwybodaeth bersonol cleifion mewn ffyrdd sy’n dryloyw ac mewn ffyrdd y byddai’n rhesymol iddynt eu disgwyl.

Yn ogystal, rhaid bodloni un neu fwy o’r amodau ar gyfer prosesu yn Erthygl 6 (ar gyfer yr holl ddata personol) ac Erthygl 9 (ar gyfer ‘data categori arbennig’, sy’n cynnwys data iechyd) GDPR er mwyn i’r gweithgarwch prosesu fod yn deg ac yn gyfreithlon.

Ym mhob achos lle y caiff data personol ei brosesu, rhaid bodloni o leiaf un o’r amodau a nodir yn Erthygl 6. Yr amodau sydd fwyaf tebygol o fod yn berthnasol ym maes gwaith meddygol yw:

  • bod gwrthrych y data wedi rhoi eu caniatâd Erthygl 6(1)(a))
  • bod angen gwneud y gwaith prosesu er mwyn cyflawni contract (Erthygl 6(1)(b))
  • bod angen gwneud y gwaith prosesu oherwydd rhwymedigaeth gyfreithiol sy’n berthnasol i reolwr y data (ac eithrio rhwymedigaeth a orfodir gan gontract) Erthygl 6(1)(c))
  • bod y gwaith prosesu yn angenrheidiol er mwyn diogelu buddiannau hanfodol gwrthrych y data Erthygl 6(1)(d))
  • bod y gwaith prosesu yn angenrheidiol er mwyn cyflawni tasg a gyflawnir er budd y cyhoedd neu er mwyn arfer awdurdod cyhoeddus Erthygl 6(1)(e)) 
  • bod y gwaith prosesu yn angenrheidiol at ddibenion buddiannau cyfreithlon sy’n cael eu canlyn gan reolwr y data neu drydydd parti (Erthygl 6(1)(f)).

Pan ddefnyddir data categori arbennig, rhaid bodloni o leiaf un o’r amodau yn Erthygl 9 hefyd. Mae gwybodaeth yng nghofnod iechyd claf yn debygol o fod yn ddata categori arbennig at ddibenion GDPR. Yr amodau sydd fwyaf tebygol o fod yn berthnasol ym maes gwaith meddygol yw:

  • bod gwrthrych y data wedi rhoi caniatâd penodol Erthygl 9(2)(a))
  • bod angen gwneud y gwaith prosesu er mwyn diogelu buddiannau hanfodol gwrthrych y data neu unigolyn arall mewn achos lle nad yw gwrthrych y data yn gallu rhoi eu caniatâd mewn ffordd gorfforol neu gyfreithlon (Erthygl 9(2)(c))
  • bod angen gwneud y gwaith prosesu am resymau sy’n ymwneud â budd cyhoeddus sylweddol (Erthygl 9(2)(g))
  • bod angen gwneud y gwaith prosesu at ddibenion meddygol lle y cyflawnir y gwaith prosesu gan weithiwr iechyd proffesiynol neu rywun arall sy’n rhwym i ddyletswydd cyfrinachedd gyfatebol Erthygl 9(2)(h)).
  • bod angen gwneud y gwaith prosesu am resymau sy’n ymwneud â budd y cyhoedd ym maes iechyd y cyhoedd (Erthygl 9(2)(i))
  • bod angen gwneud y gwaith prosesu at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil hanesyddol neu wyddonol neu at ddibenion ystadegol (Erthygl 9(2)(jj)).

Mae Deddf Diogelu Data 2018 yn nodi gofynion mwy penodol y mae’n rhaid eu bodloni hefyd pan fydd rheolwr data yn dibynnu ar yr amodau ynghylch iechyd a budd y cyhoedd yn Erthygl 9. Mewn rhai amgylchiadau, mae gofyn i reolwr data dan Ddeddf Diogelu Data 2018 lunio ‘dogfen bolisi briodol’ sy’n nodi’r mesurau cydymffurfiaeth sydd mewn grym er mwyn diogelu’r data. Ni fydd y gofyniad hwn yn berthnasol os bydd datgelu data personol sensitif yn defnyddio’r amodau sy’n gysylltiedig ag iechyd er mwyn prosesu, ond mae’n berthnasol os dibynnir ar amod sy’n ymwneud â chyflogaeth. Mae’r rhyngweithio rhwng GDPR a Deddf Diogelu Data 2018 yn gymhleth a dylai rheolwyr data geisio cyngor arbenigol pan fo hynny’n briodol.

Caniatâd dan GDPR

Mae’r safon caniatâd dan GDPR yn uwch nag y mae dan gyfraith gyffredin cyfrinachedd. Mae GDPR yn diffinio caniatâd fel:

‘unrhyw arwydd penodol, gwybodus a diamwys a roddir mewn ffordd rydd o ddymuniadau gwrthrych y data, y bydd ef neu hi, trwy gyfrwng datganiad neu weithred gadarnhaol glir, yn dynodi eu bod yn cytuno i’r cam o brosesu data personol sy’n ymwneud ag ef neu hi.’

Yn ogystal, mae GDPR yn nodi nifer o amodau eraill ynghylch caniatâd.

  • Rhaid bod y rheolwr yn gallu dangos bod gwrthrych y data wedi rhoi eu caniatâd i’r cam o brosesu data personol.
  • Gellir tynnu caniatâd yn ôl ar unrhyw adeg (nid yw hyn yn effeithio ar gyfreithlondeb y gweithgarwch prosesu cyn ei dynnu yn ôl). Cyn rhoi caniatâd, rhaid bod gwrthrychau data yn cael eu hysbysu o’u hawl i dynnu eu caniatâd yn ôl. Rhaid ei bod yr un modd hawdd tynnu caniatâd yn ôl ag y mae rhoi caniatâd.
  • Ni ddylid ystyried bod caniatâd wedi cael ei roi yn rhydd os nad oes gan wrthrych y data ddewis rhydd neu ddewis go iawn neu os nad yw’n gallu gwrthod neu dynnu caniatâd yn ôl heb fod dan anfantais.

Ni fydd hi wastad yn briodol i reolwyr data ddibynnu ar ganiatâd dan GDPR fel amod er mwyn prosesu data iechyd. Er enghraifft, mae caniatâd dealledig yn gysyniad a dderbynnir dan gyfraith cyfrinachedd, ond mae’n annhebygol o fod yn sail ddigonol er mwyn rhannu data personol wedi’i seilio ar ganiatâd dan Erthygl 6(1)(a) GDPR, ac ni fydd yn ddigonol er mwyn rhannu ‘data categori arbennig’ ar sail caniatâd penodol dan Erthygl 9(2)(a) GDPR. Fodd bynnag, mae GDPR yn darparu amodau amgen er mwyn prosesu data y maent yn debygol o fod yn fwy priodol mewn cyd-destun iechyd.

Mae hyn yn golygu y gallai gweithiwr meddygol proffesiynol sy’n rheolwr data fod yn dibynnu ar wahanol gyfiawnhad cyfreithiol dros ddatgelu gwybodaeth dan gyfraith gyffredin dyletswydd cyfrinachedd a than GDPR. Mae’n golygu hefyd y gall gweithwyr meddygol proffesiynol barhau i rannu gwybodaeth ar sail caniatâd dealledig os bodlonir yr amodau a nodir ym mharagraffau 28 a 29 (ar gyfer gofal uniongyrchol) a 96 (ar gyfer archwilio clinigol lleol) yr canllawiau hwn.

Gofynion eraill a orfodir gan GDPR 

Mae GDPR yn gorfodi nifer o ofynion eraill ar reolwyr data, ac mae’n rhoi hawliau amrywiol i wrthrychau data. Mae crynodeb llawn o GDPR y tu hwnt i gwmpas yr arweiniad hwn, ond darparir arweiniad manwl gan ICO: Information Commissioner's Office.

Deddf Hawliau Dynol 1998 (DU)

Mae Deddf Hawliau Dynol 1998 yn cynnwys y Confensiwn Ewropeaidd ar Hawliau Dynol (ECHR) yng nghyfraith y DU. Diogelir hawl unigolyn i gael parch i’w preifatrwydd gan Erthygl 8 ECHR. Nid yw’r hawl yn absoliwt, a gellir ymyrryd â hi pan fo’r gyfraith yn caniatáu a phan fo hynny’n ‘angenrheidiol mewn cymdeithas ddemocrataidd er budd diogelwch cenedlaethol, diogelwch y cyhoedd neu les economaidd y wlad, er mwyn atal trosedd neu anrhefn, er mwyn diogelu iechyd neu foesau, neu er mwyn diogelu hawliau a rhyddid eraill.’

Rhaid i unrhyw ymyrraeth â hawl unigolyn i breifatrwydd fod yn ymateb angenrheidiol a chymesur i’r sefyllfa. Mae hyn yn golygu bod angen sicrhau cydbwysedd teg rhwng buddiannau sy’n cystadlu yn erbyn ei gilydd. Mae’r rhain yn cynnwys:

  • y niwed posibl a achosir i’r unigolyn y torrir amodau eu preifatrwydd
  • budd cymdeithas yn y broses o ddarparu gwasanaeth iechyd cyfrinachol
  • budd y cyhoedd a gaiff ei sicrhau trwy dorri amodau preifatrwydd yr unigolyn.

Nodir ffactorau perthnasol i’w hystyried wrth ystyried datgeliad er budd y cyhoedd ym paragraphs 63 - 70, a 106 - 112 yr arweiniad hwn.

Mae hawliau eraill ECHR y gallent fod yn berthnasol i ystyriaethau ynghylch a yw hi’n angenrheidiol ac yn gymesur datgelu gwybodaeth bersonol claf yn cynnwys Erthygl 2 (sy’n diogelu’r hawl i fywyd), Erthygl 3 (sy’n gwahardd artaith neu driniaeth neu gosb creulon neu ddiraddiol) ac eraill o bosibl. Mae ystyriaethau o’r fath yn gymhleth a dylech geisio cyngor cyfreithiol yn ôl yr angen.

63

Mae’r gyfraith yn cydnabod bod gofal meddygol cyfrinachol er budd y cyhoedd. Mae’r ffaith bod pobl yn cael eu hannog i geisio cyngor a thriniaeth o fudd i gymdeithas gyfan ac i’r unigolyn. Ond gellir bod budd i’r cyhoedd o ddatgelu gwybodaeth er mwyn diogelu unigolion neu gymdeithas rhag risgiau niwed difrifol, megis clefydau trosglwyddadwy difrifol neu drosedd ddifrifol.23 

64

Os nad yw hi’n ymarferol i chi geisio caniatâd, ac mewn achosion eithriadol pan fo claf wedi gwrthod rhoi eu caniatâd, efallai bod modd cyfiawnhau datgelu gwybodaeth bersonol er budd y cyhoedd os allai methu gwneud hynny olygu bod eraill mewn perygl o ddioddef niwed difrifol neu farwolaeth. Rhaid i’r budd i unigolyn neu i gymdeithas o ddatgelu’r wybodaeth fod yn drech na’r budd i’r cyhoedd ac i’r claf o gadw’r wybodaeth yn gyfrinachol.

65

Gallai sefyllfa o’r fath godi, er enghraifft, os byddai datgeliad yn debygol o fod yn angenrheidiol er mwyn atal, datrys neu erlyn trosedd ddifrifol, yn enwedig troseddau yn erbyn yr unigolyn. Pan fydd dioddefwyr trais yn gwrthod cymorth yr heddlu, efallai y bydd modd cyfiawnhau datgeliad o hyd os bydd eraill yn parhau i fod mewn perygl, er enghraifft, gan rywun sy’n barod i ddefnyddio arfau, neu gan drais domestig pan allai plant neu eraill fod mewn perygl.

66

Mae enghreifftiau eraill o sefyllfaoedd lle y gallai methu datgelu gwybodaeth olygu bod eraill mewn perygl o ddioddef niwed difrifol neu farwolaeth yn cynnwys pan na fydd claf yn ffit i yrru,24 neu pan fyddant wedi cael diagnosis eu bod yn dioddef clefyd trosglwyddadwy difrifol,25 neu pan fyddant yn peri risg difrifol i eraill o ganlyniad i’r ffaith nad ydynt yn ffit i weithio.26 

68

Wrth benderfynu a yw’r budd i’r cyhoedd o ddatgelu gwybodaeth yn drech na’r budd i’r claf ac i’r cyhoedd o gadw’r wybodaeth yn gyfrinachol, rhaid i chi ystyried:

  1. y niwed neu’r gofid posibl i’r claf yn deillio o’r datgeliad – er enghraifft, o ran eu cyswllt gyda thriniaeth a’u hiechyd cyffredinol yn y dyfodol
  2. y niwed posibl i ymddiriedaeth mewn gweithwyr meddygol proffesiynol yn gyffredinol – er enghraifft, os yw’n cael ei dybio yn eang bod meddygon, cymdeithion meddygol a chymdeithion anesthesia yn barod i ddatgelu gwybodaeth am gleifion heb sicrhau eu caniatâd
  3. y niwed posibl i eraill (boed hynny’n unigolyn penodol neu’n bobl, neu i’r cyhoedd yn ehangach) os na ddatgelir y wybodaeth
  4. y budd posibl i unigolyn neu i gymdeithas sy’n deillio o’r cam o ryddhau’r wybodaeth 
  5. natur y wybodaeth i’w datgelu, ac unrhyw safbwyntiau a fynegir gan y claf
  6. a oes modd osgoi niwed neu sicrhau budd heb dorri cyfrinachedd y claf, neu os na, beth yw’r ymyriad lleiaf y gellir ei wneud.

Os ydych o’r farn y byddai methu datgelu’r wybodaeth yn golygu bod unigolion neu gymdeithas mewn perygl mor ddifrifol fel ei fod yn drech na’r budd i’r claf ac i’r cyhoedd o gynnal cyfrinachedd, dylech ddatgelu gwybodaeth berthnasol yn ddi-oed i unigolyn neu awdurdod priodol. Dylech hysbysu’r claf cyn datgelu’r wybodaeth, os yw’n ymarferol ac yn ddiogel i chi wneud hynny, hyd yn oed os ydych yn bwriadu datgelu heb sicrhau eu caniatâd.

70

Mae penderfyniadau ynghylch a oes modd cyfiawnhau datgelu heb sicrhau caniatâd er budd y cyhoedd yn gallu bod yn rhai cymhleth. Pan fo hynny’n ymarferol, dylech geisio cyngor gan warcheidwad data neu Caldicott neu gynghorydd arbenigol tebyg nad ydynt yn gysylltiedig mewn ffordd uniongyrchol â’r defnydd yr ystyrir y datgeliad ar ei gyfer. Os oes modd, dylech wneud hyn heb ddatgelu manylion y claf.

69

Rhaid i chi gofnodi yng nghofnod y claf eich rhesymau dros ddatgelu gwybodaeth ar ôl sicrhau caniatâd neu heb sicrhau caniatâd. Yn ogystal, rhaid i chi gofnodi unrhyw gamau yr ydych wedi’u cymryd i geisio caniatâd y claf, i’w hysbysu o’r datgeliad, neu’ch rhesymau dros beidio gwneud hynny.

106

Mewn amgylchiadau eithriadol, efallai y bydd budd i’r cyhoedd o’r pwys mwyaf mewn datgelu gwybodaeth bersonol heb sicrhau caniatâd at ddibenion iechyd a gofal cymdeithasol pwysig os nad oes dewis amgen rhesymol ymarferol ar gael i ddefnyddio gwybodaeth bersonol, ac nid yw hi’n ymarferol ceisio caniatâd. Rhaid i’r budd i gymdeithas sy’n deillio o’r datgeliad fod yn drech na budd y claf a’r cyhoedd o gadw’r wybodaeth yn gyfrinachol.

107

Ni ddylech ddatgelu gwybodaeth bersonol heb sicrhau caniatâd er budd y cyhoedd os bydd y datgeliad o fewn cwmpas unrhyw rai o’r rheoliadau a ddisgrifiwyd ym paragraphs 103 - 105, ac ni chaniateir y datgeliad neu nid yw wedi cael ei gymeradwyo dan y rheoliadau hynny.

108

Os nad yw’r rheoliadau a ddisgrifiwyd ym paragraphs 103 - 105 yn berthnasol, efallai y bydd angen i chi wneud eich penderfyniad eich hun ynghylch a oes modd cyfiawnhau’r cam o ddatgelu gwybodaeth bersonol heb sicrhau caniatâd. Mae’r amgylchiadau lle y byddai’r budd i’r cyhoedd yn cyfiawnhau datgeliadau o’r fath yn ansicr, fodd bynnag, felly dylech geisio cyngor gwarcheidwad data neu Caldicott neu gynghorydd cyfreithiol nad yw’n gysylltiedig mewn ffordd uniongyrchol â’r defnydd yr ystyrir y datgeliad ar ei gyfer cyn gwneud y datgeliad.41 

109

Cyn ystyried a fyddai modd cyfiawnhau datgelu gwybodaeth bersonol heb sicrhau caniatâd er budd y cyhoedd, rhaid i chi deimlo’n fodlon bod angen defnyddio gwybodaeth adnabyddadwy neu nad yw hi’n rhesymol mewn ffordd ymarferol i wneud y wybodaeth yn ddienw. Yn y naill achos neu’r llall, rhaid i chi deimlo’n fodlon nad yw hi’n rhesymol ymarferol ceisio caniatâd.42 

110

Wrth ystyried a fyddai modd cyfiawnhau datgelu gwybodaeth bersonol heb sicrhau caniatâd er budd y cyhoedd, rhaid i chi ystyried y ffactorau a nodwyd ym paragraph 67. Yn ogystal, rhaid i chi deimlo’n fodlon:

  1. y byddai’r datgeliad yn cydymffurfio â gofynion cyfraith diogelu data ac na fyddai’n torri unrhyw ddeddfwriaeth arall sy’n atal datgelu gwybodaeth am gleifion (gweler yr atodiad cyfreithiol am enghreifftiau)
  2. bod y datgeliad yn cynrychioli’r cam lleiaf sy’n angenrheidiol at y diben
  3. y bydd y wybodaeth yn cael ei phrosesu mewn amgylchedd diogel ac a reolir, ac y mae’n meddu ar y gallu ac y mae’n addas fel arall i brosesu’r wybodaeth (gweler paragraph 86)
  4. bod gwybodaeth ar gael mewn ffordd hwylus i gleifion am unrhyw ddata a ddatgelwyd heb sicrhau caniatâd, y sawl y’i datgelwyd iddynt, a diben y datgeliad.
111

Os ydych yn gwybod bod claf wedi gwrthwynebu i’r cam lle y caiff gwybodaeth ei datgelu at ddibenion ac eithrio gofal uniongyrchol, ni ddylech ddatgelu gwybodaeth er budd y cyhoedd oni bai y byddai methu gwneud hynny yn rhoi eraill mewn perygl o ddioddef niwed difrifol neu farwolaeth (gweler paragraphs 63 - 70).

112

Rhaid i chi gadw cofnod o’r wybodaeth a ddatgelwyd gennych, eich rhesymau ac unrhyw gyngor yr oeddech wedi’i geisio.

Deddfau Rhyddid Gwybodaeth ar draws y DU

Mae Deddf Rhyddid Gwybodaeth 2000 (Cymru, Lloegr a Gogledd Iwerddon) a Freedom of Information (Scotland) Act 2002 yn cynnig y cyfle i’r cyhoedd droi at wybodaeth sy’n cael ei dal gan awdurdodau cyhoeddus. Mae awdurdodau cyhoeddus yn cynnwys adrannau’r llywodraeth, awdurdodau lleol, GIG, ysgolion y wladwriaeth a heddluoedd. Nid yw’r Deddfau’n cynnig mynediad i bobl i’w gwybodaeth bersonol eu hunain megis eu cofnodion iechyd. Os bydd aelod o’r cyhoedd yn dymuno gweld gwybodaeth y mae awdurdod cyhoeddus yn ei dal amdanynt, dylent wneud cais gwrthrych am wybodaeth dan Ddeddf Diogelu Data 1998. Mae modd i chi weld arweiniad ynghylch Deddf Rhyddid Gwybodaeth 2000 ar wefan ICO: ICO website. Mae arweiniad am Freedom of Information (Scotland) Act 2002 ar gael ar wefan Comisiynydd Gwybodaeth yr Alban sef Scottish Information Commissioner.

Deddf Camddefnyddio Cyfrifiaduron 1990 (DU)

Mae’n drosedd dan y Ddeddf hon sicrhau mynediad anawdurdodedig i ddeunydd cyfrifiadurol. Byddai hyn yn cynnwys defnyddio cyfrinair a manylion adnabod unigolyn arall heb awdurdod er mwyn defnyddio, newid neu ddileu data.

Rheoleiddio darparwyr a gweithwyr gofal iechydproffesiynol

Mae gan gyrff amrywiol sy’n rheoleiddio darparwyr gofal iechyd a gweithwyr gofal iechyd proffesiynol bwerau cyfreithiol i fynnu bod gwybodaeth yn cael ei datgelu, gan gynnwys gwybodaeth bersonol am gleifion. Mae’r canlynol yn nodi detholiad o’r cyrff hyn yn unig, gan roi crynodeb o’u pwerau mwyaf perthnasol, ac mae’n cyfeirio at y codau ymarfer a gyhoeddir ganddynt ynghylch sut y maent yn defnyddio’u pwerau.

Mae gan y Comisiwn Ansawdd Gofal (CQC) yn Lloegr bwerau arolygu a mynediad ac i fynnu dogfennau a gwybodaeth dan Ddeddf Iechyd a Gofal Cymdeithasol 2008. Mae adrannau 76 i 79 yn llywodraethu defnydd a datgeliad CQC o wybodaeth bersonol gyfrinachol. Mae Adran 80 yn mynnu ei fod yn ymgynghori am ac yn cyhoeddi cod ymarfer ynghylch sut y mae’n sicrhau, yn trin, yn defnyddio ac yn datgelu gwybodaeth bersonol gyfrinachol. Mae modd I chi weld y cod ymarfer ar wefan CQC.

Mae gan Arolygiaeth Gofal Iechyd Cymru bwerau dan Ddeddf Iechyd a Gofal Cymdeithasol (Iechyd Cymunedol a Safonau) 2003 i droi at wybodaeth bersonol claf.

Mae gan Healthcare Improvement Scotland bwerau tebyg mewn perthynas â darparwyr gofal iechyd annibynnol cofrestredig dan Public Services Reform (Scotland) Act 2010.

Mae gan yr Awdurdod Rheoleiddio a Gwella Ansawdd yng Ngogledd Iwerddon bwerau dan adrannau 41 a 42 Health and Personal Social Services (Quality, Improvement and Regulation) (Northern Ireland) Order 2003 i fynd I mewn i sefydliadau, asiantaethau a chyrff iechyd a gofal cymdeithasol neu I safleoedd darparwyr er mwyn arolygu a chymryd copïau o gofnodion, yn unol ag amodau diogelu gwybodaeth gyfrinachol y darparir ar eu cyfer yn adran 43.

Mae gan NHS Protect bwerau dan Ddeddf y Gwasanaeth Iechyd Gwladol 2006 a Deddf y Gwasanaeth Iechyd Gwladol (Cymru) 2006 i fynnu bod dogfennau’n cael eu paratoi er mwyn atal, datrys ac erlyn twyll o fewn GIG. Mae’r Adran Iechyd (Lloegr) a Llywodraeth Cynulliad Cymru wedi cyhoeddi codau ymarfer ynghylch defnyddio’r pwerau hyn. Ni cheir pwerau penodol cymharol sy’n mynnu y cynhyrchir dogfennau at y dibenion hyn yn yr Alban neu yng Ngogledd Iwerddon.

Mae gan y Cyngor Meddygol Cyffredinol bwerau dan adran 35A Deddf Meddygol 1983 (fel y’i diwygiwyd) ac o dan atodlen 3, paragraff 7(4) Gorchymyn Cymdeithion Anesthesia a Chymdeithion Meddygol 2024 i fynnu bod gwybodaeth a dogfennau’n cael eu datgelu sy’n berthnasol i’r cam o gyflawni ei swyddogaethau addasrwydd i wneud gwaith meddygol, ar yr amod na chaiff datgeliad o’r fath ei wahardd gan gyfreithiau eraill. Mae gan reolyddion proffesiynol eraill bwerau tebyg. Er enghraifft, mae gan y Cyngor Nyrsio a Bydwreigiaeth bwerau i fynnu bod gwybodaeth cleifion yn cael ei datgelu at ddibenion cyflawni ei swyddogaethau addasrwydd i wneud gwaith meddygol mewn rhai amgylchiadau dan adran 25 Gorchymyn Nyrsio a Bydwreigiaeth 2001.

Mae gan yr Ombwdsmon Seneddol a’r Gwasanaeth Iechyd, Ombwdsmon Gwasanaethau Cyhoeddus Gogledd Iwerddon, Ombwdsmon Gwasanaethau Cyhoeddus Cymru ac Ombwdsmon Gwasanaethau Cyhoeddus yr Alban bwerau cyfreithiol sy’n debyg i rai’r Uchel Lys neu Lys y Sesiwn i fynnu y cynhyrchir dogfennau a bod tystion yn bresennol ac yn cael eu holi at ddibenion ymchwiliadau ynghylch y cyrff iechyd o fewn eu cylchoedd gwaith.

Cyfreithiau ynghylch datgelu at ddibenion iechyd agofal cymdeithasol

Deddf Iechyd a Gofal Cymdeithasol 2012 (Lloegr)

Mae adran 259 yn rhoi’r grym i’r Ganolfan Gwybodaeth Iechyd a Gofal Cymdeithasol (a elwir NHS Digital) i fynnu bod darparwyr iechyd a gofal cymdeithasol yn Lloegr yn anfon data cyfrinachol ati mewn amgylchiadau cyfyngedig, gan gynnwys pan fydd yn cael cyfarwyddyd gan Ysgrifennydd Gwladol dros Iechyd y DU neu GIG Lloegr i wneud hynny. Nid oes angen sicrhau caniatâd y claf, ond rhoddir sylw i wrthwynebiadau cleifion yn unol â’r addewidion yn NHS Constitution for England a chyfarwyddiadau a roddir I NHS Digital gan yr Ysgrifennydd Gwladol.

Deddf Iechyd a Gofal Cymdeithasol (Diogelwch ac Ansawdd)2015 (Lloegr)

Mae’r Ddeddf hon yn rhoi dyletswydd ar ddarparwyr a chomisiynwyr iechyd a gofal cymdeithasol yn Lloegr i rannu gwybodaeth pan fernir bod hyn yn debygol o hwyluso’r gwaith o ddarparu iechyd neu ofal cymdeithasol I unigolyn a phan fo hynny er budd pennaf yr unigolyn. Ni fydd y ddyletswydd yn berthnasol pan fydd unigolyn yn gwrthwynebu (neu byddent yn debygol o wrthwynebu), neu pan fo’r wybodaeth yn gysylltiedig â darpariaeth gofal gan ‘ddarparwr mynediad dienw’ (megis gwasanaeth iechyd rhywiol) neu pan na fydd hi’n rhesymol cydymffurfio â’r ddyletswydd am resymau eraill. Nid yw’r ddyletswydd yn drech na dyletswyddau dan y gyfraith gyffredin neu Ddeddf Diogelu Data 1998. Mae’r Information Governance Alliance wedi cyhoeddi canllawiau i Ddeddf Iechyd a Gofal Cymdeithasol (Diogelwch ac Ansawdd) 2015 ar ei wefan: Information Governance Alliance.

Health and Social Care (Control of Data Processing) Act(Northern Ireland) 2016

Mae’r Ddeddf hon yn mynnu bod yr Adran Iechyd yng Ngogledd Iwerddon yn llunio rheoliadau sy’n caniatáu neu sy’n mynnu bod gwybodaeth gyfrinachol yn cael ei phrosesu at ddibenion iechyd a gofal cymdeithasol diffiniedig. Mae’r Ddeddf yn caniatáu i ddyletswydd cyfrinachedd y gyfraith gyffredin gael ei rhoi o’r neilltu pan na fydd hi’n ymarferol ceisio caniatâd unigolion, pan na fydd modd defnyddio gwybodaeth ddienw a phan fo’r pwyllgor a sefydlwyd dan y Ddeddf wedi awdurdodi’r gwaith prosesu. Nid yw’r Ddeddf yn rhoi Deddf Diogelu Data 1998 na Deddf Hawliau Dynol 1998 o’r neilltu ac mae’n rhaid i unrhyw ddefnydd a wneir o wybodaeth barhau i gydymffurfio â gofynion y ddau ddarn hwn o ddeddfwriaeth.

Ni wnaethpwyd unrhyw reoliadau dan y Ddeddf eto. Nes y llunnir rheoliadau o’r fath, bydd y Pwyllgor Cynghori ar Breifatrwydd yn parhau i roi cyngor I gyrff iechyd a gofal cymdeithasol ynghylch y cam o ddefnyddio gwybodaeth sy’n ymwneud â chleifion a chleientiaid. Mae modd i chi gael gwybod mwy am y pwyllgor ar ei wefan: www.privacyadvisorycommittee.hscni.net.

Adran 251 Deddf GIG 2006 (Cymru a Lloegr)

Mae Adran 251 y Ddeddf hon yn caniatáu i’r Ysgrifennydd Gwladol dros Iechyd lunio rheoliadau i roi dyletswydd cyfrinachedd y gyfraith gyffredin o’r neilltu at ddibenion meddygol diffiniedig. Mewn gwirionedd, mae hyn yn golygu bod modd i’r sawl sy’n gyfrifol am y wybodaeth ddatgelu gwybodaeth gyfrinachol cleifion i ymgeisydd heb sicrhau caniatâd, a hynny heb iddynt dorri dyletswydd cyfrinachedd y gyfraith gyffredin, ar yr amod y bodlonir gofynion y rheoliadau. Rhaid i’r unigolyn sy’n gyfrifol am y wybodaeth gydymffurfio â’r holl rwymedigaethau cyfreithiol perthnasol eraill o hyd megis Deddf Diogelu Data 1998 a Deddf Hawliau Dynol 1998.

Y rheoliadau sy’n galluogi’r grym hwn yw Rheoliadau’r Gwasanaeth Iechyd (Rheoli Gwybodaeth Cleifion) 2002. Mae unrhyw gyfeiriadau at ‘gymorth neu gymeradwyaeth adran 251’ yn cyfeirio at gymeradwyaeth a roddir dan awdurdod y rheoliadau mewn gwirionedd. Dim ond pan na fydd hi’n ymarferol sicrhau caniatâd a phan nad oes modd defnyddio gwybodaeth ddienw y gellir defnyddio’r pwerau hyn, gan ystyried y gost a’r dechnoleg sydd ar gael. Nid oes modd eu defnyddio er mwyn caniatáu i wybodaeth gael ei datgelu ar gyfer gofal uniongyrchol cleifion unigol yn unig neu’n bennaf. Dim ond yng Nghymru a Lloegr y mae’r rheoliadau’n berthnasol.

Mae’r rheoliadau’n darparu gwahanol fathau o gymorth.

  • Mae Rheoliad 2 yn darparu cymorth penodol i gofrestrfeydd canser I gael ac i brosesu data adnabyddadwy am gleifion y’u cyfeiriwyd am ddiagnosis neu driniaeth canser at y dibenion meddygol a nodir yn y rheoliad.
  • Mae Rheoliad 3 yn darparu cymorth penodol i wybodaeth cleifion adnabyddadwy gael ei datgelu i, a’i phrosesu gan, yr unigolion neu’r cyrff a restrir ym mharagraff 3 Rheoliad 3 pan mai bwriad y Gwaith prosesu yw rhoi diagnosis, rheoli neu atal, neu adnabod tueddiadau mewn perthynas â chlefydau trosglwyddadwy a risgiau eraill I iechyd y cyhoedd.
  • Mae modd defnyddio Rheoliad 5 er mwyn caniatáu prosesu at amrediad o ddibenion meddygol, a ddiffinnir mewn ffordd fras fel y rhai sy’n cynnwys ‘meddygaeth ataliol, diagnosis meddygol, ymchwil feddygol, darparu gofal a thriniaeth a rheoli gwasanaethau iechyd a gofal cymdeithasol’. Bydd unrhyw unigolyn sy’n dymuno sicrhau cymorth dan Reoliad 5 yn cyflwyno cais i Grŵp Cynghori ar Gyfrinachedd yr Awdurdod Ymchwil Iechyd. Yna, bydd y Grŵp Cynghori ar Gyfrinachedd yn rhoi cyngor i’r penderfynydd perthnasol, sef yr Awdurdod Ymchwil Iechyd ar hyn o bryd ar gyfer ceisiadau ymchwil a’r Ysgrifennydd Gwladol dros Iechyd ar gyfer ceisiadau nad ydynt yn ymwneud ag ymchwil. Fel arfer, ni fydd y Grŵp Cynghori ar Gyfrinachedd yn awdurdodi datgeliadau dan Reoliad 5 y mae’r claf wedi gwrthwynebu iddynt. Efallai na fydd yr Awdurdod Ymchwil Iechyd yn rhoi eu cymeradwyaeth oni bai bod pwyllgor moeseg ymchwil wedi cymeradwyo’r gwaith ymchwil meddygol dan sylw. 

Mae modd i chi weld rhagor o wybodaeth am adran 251 Deddf GIG 2006 a rôl y Grŵp Cynghori ar Gyfrinachedd ar wefan yr Awdurdod Ymchwil Iechyd: Health Research Authority.

Cyfyngiadau statudol ar ddatgelu gwybodaeth amgleifion

Deddf Cydnabod Rhywedd 2004 (DU)

Mae adran 22 y Ddeddf yn nodi ei bod yn drosedd datgelu ‘gwybodaeth warchodedig’ pan geir y wybodaeth honno mewn ffordd swyddogol. Diffinnir ‘gwybodaeth warchodedig’ fel gwybodaeth am gais cydnabod rhywedd unigolyn a hanes rhywedd unigolyn ar ôl iddynt newid rhyw dan y Ddeddf. Yn ogystal, mae adran 22 yn nodi cyfres o eithriadau pan fernir bod modd cyfiawnhau datgeliad. Ymhelaethir ar y rhain ymhellach a rhoddir eglurhad pellach amdanynt yng Ngorchymyn Cydnabod Rhywedd (Datgelu Gwybodaeth) (Cymru, Lloegr a Gogledd Iwerddon) 2005 a The Gender Recognition (Disclosure of Information) (Scotland) Order 2005.

Deddf Ffrwythlondeb ac Embryoleg Dynol 1990 (DU)

Mae adran 33A yn diogelu cyfrinachedd gwybodaeth a gedwir gan glinigau a’r Awdurdod Ffrwythlondeb ac Embryoleg Dynol. Dim ond mewn amgylchiadau penodol a nodir yn y Ddeddf y bydd modd troi at neu ddatgelu gwybodaeth. Mae datgelu gwybodaeth sy’n dynodi’r claf mewn amgylchiadau eraill heb sicrhau caniatâd y claf ymlaen llaw, yn drosedd.

Rheoliadau’r Gwasanaeth Iechyd Gwladol (Clefydau Gwenerol) 1974 (Cymru) aChyfarwyddiadau Ymddiriedolaethau GIG ac Ymddiriedolaethau Gofal Sylfaenol (Clefydau aDrosglwyddir yn Rhywiol 200 (Lloegr)

Mae’r rheoliadau hyn yn darparu na chaiff unrhyw wybodaeth y gallai ddynodi unigolyn sy’n cael eu harchwilio neu eu trin am glefyd a drosglwyddir yn rhywiol, gan gynnwys HIV, ei darparu, ac eithrio i ymarferwr meddygol mewn cysylltiad â thriniaeth yr unigolyn mewn perthynas â’r clefyd hwnnw neu er mwyn atal y clefyd rhag lledaenu.

Related content

Key legislation factsheet (pdf) Read our Confidentiality key legislation factsheet in English.
Daflen ffeithiau deddfwriaeth allweddol (pdf) Read our Confidentiality key legislation factsheet in Welsh.