Dogfen
Polisi Diogelu Data
Mae Cyngor Bwrdeistref Sirol Castell-nedd Port Talbot [y cyfeirir ato o hyn ymlaen fel "yr Awdurdod"] yn ymrwymedig i sicrhau ei fod yn cydymffurfio â gofynion Rheoliad Diogelu Data Cyffredinol 2016 ("y GDPR") a Deddf Diogelu Data 2018 ("DPA") ("y ddeddfwriaeth"). Rydym yn cydnabod pwysigrwydd data personol i'n sefydliad a phwysigrwydd parchu hawliau preifatrwydd unigolion. Mae'r Polisi Diogelu Data ("y Polisi") hwn yn nodi'r egwyddorion y byddwn yn eu gweithredu ar gyfer prosesu data personol, er mwyn sicrhau ein bod yn diogelu un o'n hasedau mwyaf gwerthfawr a hefyd yn prosesu data personol yn unol â'r gyfraith.
Cyfrifoldeb ein holl weithwyr yw cynorthwyo'r awdurdod i gydymffurfio â'r Polisi hwn. Er mwyn helpu gweithwyr i gydymffurfio, rydym wedi llunio Nodyn Arweiniol ar y Polisi Diogelu Data ("yr Arweiniad") sy'n esbonio gofynion y Ddeddfwriaeth yn fanylach. Mae'n rhaid i weithwyr fod yn gyfarwydd â'r Polisi hwn a'r Arweiniad a dilyn eu darpariaethau mewn perthynas â phrosesu unrhyw ddata personol. Gallai peidio â gwneud hyn arwain at gamymddwyn, sy'n fater disgyblu a gallai arwain at ddiswyddo yn y pen draw. Ar ben hynny, gallai toriadau difrifol o ran y ddeddfwriaeth arwain at atebolrwydd troseddol personol i'r staff dan sylw.
Yn ychwanegol, gallai methu cydymffurfio â'r Polisi hwn arwain at gamau gorfodi i'r busnes gan y Comisiynydd Gwybodaeth (a allai arwain at osod cyfyngiadau ar ein defnydd o ddata personol) neu at gwynion neu hawliadau ar gyfer iawndal gan unigolion yr effeithiwyd arnynt. Efallai y bydd cyhoeddusrwydd negyddol o ganlyniad i unrhyw doriad sy'n gyhoeddus.
At ddiben y polisi hwn:
- Data sef gwybodaeth:
- sy'n cael ei phrosesu gan gyfarpar sy'n gweithredu'n awtomatig mewn ymateb i gyfarwyddiadau a roddwyd at y diben hwnnw
- sy'n cael ei nodi gyda'r bwriad o'i phrosesu gan ddefnyddio cyfarpar o'r fath,
- sy'n cael ei nodi fel rhan o system ffeilio berthnasol neu gyda'r bwriad y dylai fod yn rhan o system ffeilio berthnasol
- sy'n cael ei chofnodi sy'n cael ei dal gan awdurdod cyhoeddus sydd y tu hwnt i (a) i (c) uchod
- Rheolwr Data y person naturiol neu gyfreithiol, yr awdurdod, yr asiantaeth neu'r corff cyhoeddus arall sy'n pennu'r dibenion a'r ffyrdd o brosesu data personol yn unigol neu ar y cyd ag eraill
- Prosesydd Data y person naturiol neu gyfreithiol, yr awdurdod, yr asiantaeth neu'r corff cyhoeddus arall sy'n prosesu data personol ar ran y rheolwr data
- Gwrthrych y data y person naturiol adnabyddedig neu adnabyddadwy
- Data Anghywir gwybodaeth neu ddata sy'n anghywir neu'n gamarweiniol mewn perthynas ag unrhyw fater ffeithiol
- Data Personol unrhyw wybodaeth sy'n ymwneud â pherson naturiol adnabyddedig neu adnabyddadwy (gwrthrych y data). Person naturiol adnabyddadwy yw person y gellir ei adnabod, yn uniongyrchol neu'n anuniongyrchol, yn benodol drwy gyfeirio at ddynodydd megis enw, rhif adnabod, data lleoliad, dynodydd ar-lein neu un ffactor neu fwy sy'n benodol i hunaniaeth gorfforol, ffisiolegol, enetig, feddyliol, economaidd, ddiwylliannol neu gymdeithasol y person naturiol hwnnw
- Prosesu unrhyw weithrediad neu gyfres o weithrediadau a wneir i ddata personol, p'un ai mewn modd awtomataidd neu beidio, megis;
- Ei gasglu
- Ei gofnodi
- Ei drefnu
- Ei strwythuro
- Ei storio
- Ei addasu neu'i newid
- Ei adfer
- Ymgynghori arno
- Ei ddefnyddio
- Ei ddatgelu
- Cyfyngu arno
- Ei ddileu
- Ei ddinistrio
- Derbynnydd mewn perthynas â data personol, dyma unrhyw berson y datgelir data iddo, boed yn drydydd parti neu beidio, gan gynnwys unrhyw berson (megis gweithiwr neu asiant y rheolwr data, prosesydd data neu weithiwr neu asiant prosesydd data) sy'n ymwneud â phrosesu'r data ar ran y rheolwr data, ond nid yw'n cynnwys unrhyw berson y datgelir data iddo neu efallai y datgelir data iddo o ganlyniad i ymholiad penodol gan y person hwnnw, neu ar ei ran, a wnaed wrth arfer unrhyw bŵer a roddwyd iddo gan y gyfraith
- Categorïau arbennig o ddata personol sef data personol sy'n cynnwys gwybodaeth megis:
-
hil neu ethnigrwydd gwrthrych y data,
-
ei farn wleidyddol,
-
ei gredoau crefyddol neu athronyddol,
-
a yw'n aelod o undeb llafur,
-
ei iechyd corfforol neu feddyliol,
-
ei fywyd rhywiol neu ei dueddfryd rhywiol,
-
ddata genetig, neu
-
data biometrig (at ddibenion adnabod person naturiol yn unigryw)
-
- Trydydd Parti unrhyw berson heblaw am:
- wrthrych y data,
- y rheolwr data neu
- unrhyw brosesydd data neu berson arall sydd â'r awdurdod i brosesu data ar gyfer y rheolwr data neu'r prosesydd
- Data Personol Collfarnau Troseddol a Throseddau cyflawni neu achos honedig o gyflawni unrhyw drosedd, neu unrhyw achos oherwydd unrhyw drosedd a gyflawnwyd gan wrthrych y data neu yr honnir iddo ei chyflawni, penderfyniad achos o'r fath neu ddedfryd gan unrhyw lys mewn achos o'r fath.
Egwyddorion Diogelu Data
Bydd yr awdurdod yn cydymffurfio â'r egwyddorion canlynol mewn perthynas ag unrhyw ddata personol y mae'n ei brosesu fel rheolwr data. Ymdrinnir â data personol fel a ganlyn:-
- bydd yn cael ei brosesu'n gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas â gwrthrych y data (Cyfreithlondeb, Tegwch a Thryloywder);
- bydd yn cael ei gasglu at ddibenion penodol, eglur a chyfreithlon, ac ni ddylid ei brosesu ymhellach mewn unrhyw ffordd nad yw'n cydymffurfio â'r dibenion hynny; nid ystyrir bod prosesu ymhellach at ddibenion archifo er budd y cyhoedd, dibenion ymchwil wyddonol neu hanesyddol neu ddibenion ystadegol yn anghydnaws â'r dibenion cychwynnol (Cyfyngu ar ddibenion);
- bydd yn ddigonol, yn berthnasol ac yn gyfyngedig i'r hyn sy'n angenrheidiol mewn perthynas â'r dibenion y caiff ei brosesu ar eu cyfer (Lleihau data);
- bydd yn gywir ac yn gyfredol, lle y bo'n briodol; mae'n rhaid cymryd pob cam rhesymol i sicrhau bod unrhyw ddata personol sy'n anghywir yn cael ei ddileu neu ei gywiro heb oedi, gan ystyried y dibenion y caiff ei brosesu ar eu cyfer (Cywirdeb);
- bydd yn cael ei gadw ar ffurf nad yw'n caniatáu i wrthrychau data gael eu hadnabod am gyfnodau hwy nag sy'n angenrheidiol at y dibenion y prosesir y data personol ar eu cyfer; gellir cadw data personol am gyfnodau hwy i'r graddau y caiff y data personol ei brosesu at gyflawni dibenion er budd y cyhoedd, dibenion ymchwil wyddonol neu hanesyddol neu ddibenion ystadegol yn unig, yn amodol ar weithredu'r mesurau technegol a sefydliadol addas sy'n ofynnol yn unol â'r GDPR er mwyn diogelu hawliau a rhyddid gwrthrych y data (Cyfyngu ar storio); a
-
bydd yn cael ei brosesu mewn modd sy'n sicrhau y diogelir y data personol yn addas, gan gynnwys diogelwch yn erbyn prosesau anghyfreithlon neu heb ganiatâd ac yn erbyn colled, dinistr neu ddifrod damweiniol, gan ddefnyddio mesurau technegol neu sefydliadol addas (Gonestrwydd a chyfrinachedd).”
Sail Prosesu
Amlinellir seiliau cyfreithiol prosesu yn Erthygl 6 y GDPR. Mae'n rhaid i o leiaf un o'r rhain fod yn berthnasol pryd bynnag y mae'r Awdurdod yn prosesu data personol:
- Caniatâd: mae'r unigolyn wedi rhoi caniatâd clir i'r Awdurdod brosesu ei ddata personol at un diben penodol neu fwy.
- Contract: mae'r prosesu'n angenrheidiol ar gyfer cyflawni contract rhwng Awdurdod a'r unigolyn, neu oherwydd ei fod wedi gofyn i'r Awdurdod gymryd camau penodol cyn cytuno ar gontract.
- Rhwymedigaeth gyfreithiol: mae'r prosesu'n angenrheidiol er mwyn i'r Awdurdod gydymffurfio â'r gyfraith (heb gynnwys rhwymedigaethau cytundebol).
- Buddion hollbwysig: mae'r prosesu'n hanfodol er mwyn diogelu bywyd unigolyn.
- Tasg gyhoeddus: mae'r prosesu'n angenrheidiol er mwyn i'r Awdurdod gyflawni tasg er budd y cyhoedd neu arfer awdurdod swyddogol sydd gan y cyngor ac mae gan y dasg neu'r swyddogaeth sail gyfreithiol glir.
- Buddion cyfreithlon: mae'r prosesu'n angenrheidiol er buddion cyfreithlon yr Awdurdod neu drydydd parti oni bai fod rheswm da dros ddiogelu data personol yr unigolyn sy'n trechu'r buddion cyfreithlon hynny. (Ni ellir dibynnu ar yr amod hwn os yw'r Awdurdod yn awdurdod cyhoeddus sy'n prosesu data er mwyn cyflawni tasgau swyddogol yr Awdurdod).
Atebolrwydd
Rhaid i'r Awdurdod:
- roi mesurau technegol a sefydliadol addas ar waith sy'n sicrhau ac yn dangos ein bod yn cydymffurfio â'r GDPR a'r Ddeddf Diogelu Data. Gall hyn gynnwys polisïau diogelu data mewnol megis hyfforddiant staff, archwiliadau mewnol o weithgareddau prosesu, ac adolygiadau o bolisïau AD mewnol;
- cynnal dogfennau perthnasol ar weithgareddau prosesu
- penodi swyddog diogelu data;
- rhoi mesurau ar waith sy'n bodloni egwyddorion diogelu data o'r dechrau ac yn ddiofyn. Gallai mesurau gynnwys lleihau data, defnyddio ffugenwau neu dryloywder;
- caniatáu i unigolion fonitro prosesu;
- creu a gwella nodweddion diogelwch yn barhaus, a
- defnyddio asesiadau effaith diogelu data lle y bo'n briodol
Trefniadau Allanol
Rhaid i'r Awdurdod fodloni'r canlynol:
-
Os yw'r Awdurdod yn trosglwyddo data personol i unrhyw sefydliad allanol i'w brosesu ar ran yr Awdurdod, mae'n rhaid i swyddogion sicrhau bod Cytundeb Prosesu Data ar waith. Gellir cael Cytundeb Diogelu Data addas gan yr Is-adran Gwasanaethau Cyfreithiol;
-
Yn ychwanegol, rhaid i unrhyw gontractau allanol gyda'n darparwyr gwasanaethau/contractwyr nodi testun a hyd y prosesu, natur a diben y prosesu, y math o ddata personol a chategorïau gwrthrych y data, a goblygiadau a hawliau'r Awdurdod. Mae'n rhaid cynnwys telerau penodol hefyd a dylid ceisio cyngor gan yr Is-adran Gwasanaethau Cyfreithiol yn hyn o beth;
- lle mae'r Awdurdod yn rhannu data personol y mae'n ei ddal â thrydydd partïon yn rheolaidd, dylid ymdrechu i sefydlu Cytundeb Rhannu Data â'r trydydd partïon hynny (e.e. Llywodraeth Cymru; Awdurdod Iechyd; Heddlu ac Awdurdodau Llywodraeth Leol eraill).
Cofrestr Asedau Gwybodaeth
Un o ofynion y GDPR yw cynnal cofnod o'r holl weithgareddau prosesu yr ymgymerir â hwy yn yr Awdurdod. I wneud hyn, mae angen i ni nodi:
- pa ddata personol rydym yn ei brosesu a pham rydym yn ei brosesu;
- beth yw'r sail gyfreithiol ar gyfer prosesu;
- sut rydym yn storio'r data ac yn ei gadw'n ddiogel;
- pwy sydd â mynediad at y data;
- â phwy rydym yn rhannu'r data a pha gytundebau rhannu sydd ar waith;
- am faint o amser rydym yn ei gadw.
Mae gan yr Awdurdod Gofrestr Asedau Gwybodaeth ddynodedig y mae'n rhaid ei chwblhau ar gyfer yr holl wybodaeth sydd wedi'i chynnwys o fewn pob un o Gyfarwyddiaethau'r Awdurdod. Dylai'r swyddogion ddiweddaru'r gofrestr hon pryd bynnag y bydd newidiadau'n cael eu gwneud i'r materion a nodwyd yn 9.1 i 9.6 uchod.
Swyddog Diogelu Data
Mae'r cyngor wedi penodi Pennaeth y Gwasanaethau Cyfreithiol fel y Swyddog Diogelu Data ar gyfer yr awdurdod hwn.
Bydd y Swyddog Diogelu Data a'i swyddogion yn gweithio ar y cyd â'r Is-adran TGCh a holl gyfarwyddiaethau'r cyngor er mwyn sicrhau y cydymffurfir â'r ddeddfwriaeth.
Mae rôl y Swyddog Diogelu Data'n cynnwys:
- hysbysu swyddogion yr Awdurdod o'u rhwymedigaethau diogelu data o dan y GDPR a'r Ddeddf Diogelu Data;
- monitro cydymffurfio â pholisïau a gweithdrefnau. Mae hyn yn cynnwys monitro cyfrifoldeb a hyfforddiant staff sy'n ymwneud â phrosesu data;
- sicrhau bod y Gofrestr Asedau Gwybodaeth yn gofrestrfa weithredol sy'n nodi'r holl systemau sy'n cadw data personol (h.y. mae'n gyfredol);
- rhoi gywbod am angenrheidrwydd cynnal Asesiadau Effaith Diogelu Data, sut i'w rhoi ar waith, ac adrodd am doriadau data;
- gwasanaethu fel cyswllt ar gyfer unigolion ar faterion preifatrwydd, gan gynnwys ceisiadau gwrthrych am wybodaeth;
- gwasanaethu fel y pwynt cyswllt ar gyfer trafodaethau â Swyddfa'r Comisiynydd Gwybodaeth.
Gofynion Ychwanegol
Mae'n rhaid cymryd camau technegol a sefydliadol priodol os bydd data personol yn cael ei brosesu'n anghyfreithlon neu heb ganiatâd ac os bydd yn cael ei golli, ei ddinistrio neu ei ddifrodi'n ddamweiniol.
I weld polisïau'r Awdurdod mewn perthynas ag Adrodd am Ddigwyddiadau a Diogelwch Gwybodaeth, cymerwch gip ar y dogfennau yn y ddolen ganlynol:
http://intranet.neath-porttalbot.gov.uk/default.aspx?page=9414
Ni ddylid trosglwyddo data personol i wlad neu diriogaeth y tu allan i'r Undeb Ewropeaidd oni bai fod y wlad neu'r diriogaeth honno'n sicrhau lefel ddigonol o ddiogelwch i hawliau a rhyddid gwrthrychau data mewn perthynas â phrosesu data personol. Cyfrifoldeb y swyddogion yw sicrhau, os ydynt yn defnyddio prosesyddion i gynnal y gwaith ar ran yr Awdurdod, fod y gwaith prosesu'n cael ei gynnal o fewn yr Undeb Ewropeaidd: oni bai y cymeradwyir eithriad penodol gan yr Undeb Ewropeaidd i ganiatáu i'r gwaith prosesu gael ei gynnal mewn gwlad y tu allan i'r Undeb Ewropeaidd.
Gellir diwygio'r Polisi hwn o bryd i'w gilydd er mwyn adlewyrchu unrhyw newidiadau i ddeddfwriaeth.