Polisi Diogelu Data Grŵp PCYDDS

Mae gan bawb hawliau o ran y modd yr ymdrinnir â’i ddata personol. Yn ystod ei weithgareddau bydd Grŵp PCYDDS yn casglu, yn storio ac yn prosesu data personol ynghylch ei staff, ei fyfyrwyr, ei gyflenwyr a thrydydd partïon eraill, a chydnabyddwn y bydd ymdrin â’r data hyn mewn modd cywir a chyfreithlon yn cynnal hyder yn y sefydliad.

Rhaid i ddefnyddwyr data gydymffurfio â’r polisi hwn wrth brosesu data personol ar ei ran. Gallai torri’r polisi hwn arwain at gamau disgyblu.

Mae’r mathau o ddata personol y gallai fod yn ofynnol i Grŵp PCYDDS ymdrin â nhw’n cynnwys, ymhlith pethau eraill, gwybodaeth am fyfyrwyr a staff cyfredol, blaenorol a phosibl a phobl eraill rydym yn cyfathrebu â nhw. Mae’n bosibl bod y data personol yn cael eu dal ar bapur neu ar gyfrifiadur neu ar gyfryngau eraill ac maent yn destun mesurau diogelu cyfreithiol penodol a nodir yn Neddf Diogelu Data 2018 (“y Ddeddf”) fel y’i diwygir a’r Rheoliad Cyffredinol ar Ddiogelu Data 2018 (“GDPR yr UE”) gweler isod.

GDPR yr UE yw’r gyfraith sy’n nodi’r gofynion ar gyfer diogelu data personol yn yr UE. Yn dilyn ymadawiad y DU â’r UE, o 1 Ionawr 2021 ymlaen, mabwysiadwyd gofynion GDPR yr UE i gyfreithiau’r DU, gan greu ‘GDPR y DU’. Bydd GDPR yr UE yn parhau’n berthnasol i ddata a gasglwyd ac a brosesir cyn 31 Rhagfyr 2020 ac i ddata trigolion yr UE o hynny allan. Bydd data trigolion y DU, a gesglir ar ôl 1 Ionawr 2021, yn ddarostyngedig i GDPR y DU. Gan fod fersiynau’r UE a’r DU o’r GDPR wedi’u halinio ar hyn o bryd, bydd datganiadau sy’n cyfeirio at y ‘GDPR’ yn cynnwys y ddwy oruchwyliaeth.

Mae’r polisi hwn ac unrhyw ddogfennau eraill y cyfeirir atynt ynddo yn gosod allan ar ba sail y byddwn yn prosesu unrhyw ddata personol a gasglwn gan destunau data, neu a ddarperir ar ein cyfer gan destunau data neu gan ffynonellau eraill.

Nid yw’r polisi hwn yn rhan o gontract cyflogaeth unrhyw gyflogai ac mae modd ei newid ar unrhyw adeg fel y bo’n ofynnol dan y gyfraith.

Cymeradwywyd y polisi hwn ac mae’n gosod allan reolau ynghylch diogelu data a’r amodau cyfreithiol y mae’n rhaid eu bodloni pan fyddwn yn caffael, yn trin, yn prosesu, yn trosglwyddo ac yn storio data personol.

Mae Swyddog Diogelu Data Grŵp PCYDDS yn gyfrifol am sicrhau cydymffurfio â’r Ddeddf ac â’r polisi hwn. Ar hyn o bryd Paul Osborne sydd yn y swydd honno foi@uwtsd.ac.uk . Dylid cyfeirio unrhyw gwestiynau ynghylch gweithredu’r polisi hwn neu unrhyw bryderon na ddilynwyd y polisi, at Swyddog Diogelu Data Grŵp PCYDDS yn y lle cyntaf.

Cydsyniad: cytundeb y mae’n rhaid ei fod yn benodol, yn wybodus, yn cael ei roi’n rhydd ac yn arwydd diamwys o ddymuniadau’r Testun Data a thrwy’r cytundeb hwnnw mae’r Testun Data yn mynegi, drwy ddatganiad neu drwy weithred eglur, gadarnhaol, ei fod / ei bod yn cytuno â Phrosesu Data Personol yn gysylltiedig ag ef / hi.

Mae data’n wybodaeth sy’n cael ei storio’n electronig, ar gyfrifiadur, neu mewn systemau ffeilio papur penodol.

At ddibenion y polisi hwn mae Testunau Data yn cynnwys pob unigolyn byw rydym yn dal data personol amdano. Nid yw testun data o reidrwydd yn wladolyn neu’n breswylydd y DU. Mae gan bob testun data hawliau cyfreithiol o ran ei wybodaeth bersonol.

Mae Data Personol yn golygu data’n gysylltiedig ag unigolyn byw y mae modd ei adnabod o’r data hynny (neu o’r data hynny a gwybodaeth arall sydd yn ein meddiant). Gall data personol fod yn ffeithiol (er enghraifft, enw, cyfeiriad neu ddyddiad geni) neu gall fod yn farn am yr unigolyn hwnnw, ei weithredoedd a’i ymddygiad.

Rheolwyr Data yw’r bobl neu’r sefydliadau sy’n pennu’r dibenion y prosesir unrhyw ddata personol atynt a’r modd y prosesir y data hynny. Maent yn gyfrifol am sefydlu arferion a pholisïau yn unol â’r Ddeddf. Swyddog Diogelu Data Grŵp PCYDDS yw rheolydd data’r holl ddata personol a ddefnyddir yn ein busnes at ein dibenion masnachol ein hunain.

Defnyddwyr Data yw’r rheini ymhlith ein cyflogeion y mae’u gwaith yn ymwneud â phrosesu data personol. Rhaid i ddefnyddwyr data ddiogelu’r data maent yn eu trin yn unol â’r polisi diogelu data hwn ac unrhyw weithdrefnau diogelwch data perthnasol ar hyd yr amser.

Mae Proseswyr Data yn cynnwys unrhyw unigolyn neu sefydliad nad yw’n ddefnyddiwr data sy’n prosesu data personol ar ein rhan ac yn ôl ein cyfarwyddiadau. Nid yw’r diffiniad hwn yn cynnwys cyflogeion rheolwyr data ond gallai gynnwys cyflenwyr sy’n trin data personol ar ran y Brifysgol.

Tor Diogelwch Data Personol: unrhyw weithred neu anwaith sy’n peryglu diogelwch, cyfrinachedd, cywirdeb neu argaeledd Data Personol neu’r trefniadau diogelu ffisegol, technegol, gweinyddol neu sefydliadol rydym ni neu ein darparwyr trydydd parti’n eu gosod yn eu lle er mwyn diogelu’r Data Personol hynny.
Mae colli Data Personol, neu gael mynediad atynt, eu datgelu neu eu caffael heb awdurdod, yn Dor Diogelwch Data Personol.

Prosesu yw unrhyw weithgarwch sy’n cynnwys defnyddio’r data. Mae’n cynnwys caffael, cofnodi neu ddal y data, neu gyflawni unrhyw weithred neu set o weithrediadau ar y data’n cynnwys eu trefnu, newid, adalw, defnyddio, datgelu, dileu neu eu dinistrio. Mae prosesu hefyd yn cynnwys trosglwyddo data personol i drydydd partïon.

Mae Data Categori Arbennig yn cynnwys gwybodaeth am darddiad hiliol neu ethnig, barn wleidyddol, cred grefyddol neu gredoau eraill o’r fath, aelodaeth o undeb llafur, iechyd neu gyflwr corfforol neu feddyliol neu fywyd rhywiol unigolyn, neu am drosedd a gyflawnwyd neu yr honnir iddi gael ei chyflawni gan yr unigolyn hwnnw, neu am y dull o gyflawni trosedd neu’r achos sy’n ymwneud â throsedd a gyflawnwyd neu yr honnir iddi gael ei chyflawni gan yr unigolyn hwnnw, penderfyniad mewn achos o’r
fath neu ddedfryd unrhyw lys mewn achos o’r fath. Gellir prosesu Data Categori Arbennig dan amodau llym yn unig, yn cynnwys amod sy’n ei gwneud yn ofynnol cael caniatâd datganedig yr unigolyn dan sylw.

Rhaid i unrhyw un sy’n prosesu data personol gydymffurfio â’r egwyddorion diogelu data canlynol. Yn ôl y rhain rhaid i ddata personol:

4.1 Gael eu prosesu’n deg ac yn gyfreithlon, ac mewn modd tryloyw
4.2 Cael eu prosesu at ddibenion cyfyngedig ac mewn modd priodol.
4.3 Bod yn ddigonol, yn berthnasol a pheidio â bod yn ormodol at y diben.
4.4 Bod yn gywir a bod data anghywir yn cael eu cywiro neu eu dileu heb oedi.
4.5 Peidio â chael eu cadw’n hwy na’r angen at y diben.
4.6 Cael eu prosesu’n unol â hawliau testunau data a chael eu diogelu rhag eu colli, eu dinistrio neu eu difrodi’n ddamweiniol.
4.7 Cael eu cadw’n ddiogel.

1. Nid atal prosesu data personol mo bwriad y Ddeddf, ond yn hytrach sicrhau ei fod yn cael ei wneud yn deg a heb effeithio’n niweidiol ar hawliau’r testun data.
    
2. Er mwyn i ddata personol gael eu prosesu’n gyfreithlon, rhaid iddynt gael eu prosesu’n unol ag un o’r seiliau cyfreithiol a nodir yn GDPR y DU. Mae’r rhain yn cynnwys, ymhlith pethau eraill, Gydsyniad y testun data i’r prosesu, neu fod y prosesu’n angenrheidiol er mwyn cyflawni contract gyda’r testun data, er mwyn cydymffurfio â rhwymedigaeth gyfreithiol y mae’r rheolydd data’n ddarostyngedig iddi, neu er buddiant dilys y rheolydd data neu’r parti y datgelir y data iddo. Pan fydd data categori arbennig yn cael eu prosesu, rhaid bodloni amodau ychwanegol. Wrth brosesu data personol fel rheolwyr data wrth gyflawni ein busnes, byddwn yn sicrhau bod y gofynion hynny’n cael eu bodloni.

1. Wrth gyflawni ein busnes, gallwn gasglu a phrosesu’r data personol a nodir mewn hysbysiad preifatrwydd. Rhaid i Hysbysiadau Preifatrwydd fod yn gryno, tryloyw, dealladwy, hygyrch, ac mewn iaith glir a syml er mwyn i Destun Data allu eu deall yn hawdd. Gallai hyn gynnwys data a dderbyniwn yn uniongyrchol gan destun data (er enghraifft, drwy gwblhau ffurflenni neu drwy ohebu â ni drwy’r post, ffôn, e-bost neu fel arall) a data a dderbyniwn gan ffynonellau eraill (yn cynnwys, er enghraifft, partneriaid busnes, is-gontractwyr mewn gwasanaethau technegol, talu a chyflenwi, asiantaethau gwirio credyd ac eraill).
2. Byddwn yn prosesu data personol at y dibenion penodol a nodir yn yr hysbysiad preifatrwydd yn unig, neu at unrhyw ddibenion eraill a ganiateir yn benodol gan y Ddeddf. Byddwn yn hysbysu’r testun data am y dibenion hynny pan gasglwn y data’n gyntaf neu cyn gynted â phosibl wedi hynny.

1. Os casglwn ddata personol yn uniongyrchol gan destunau data, byddwn yn rhoi gwybod iddynt am y canlynol:
2. Y diben neu’r dibenion y bwriadwn brosesu’r data personol hynny atynt.
3. Y mathau o drydydd partïon, os oes rhai, y byddwn yn rhannu’r data personol hynny â nhw neu’n eu datgelu iddynt.
4. Y modd, os oes modd, y gall testunau data gyfyngu arnom wrth ddefnyddio a datgelu eu data personol.
5. Os derbyniwn ddata personol am destun data gan ffynonellau eraill, byddwn yn darparu’r wybodaeth hon ar gyfer y testun data cyn gynted â phosibl wedi hynny.
6. Hefyd byddwn yn rhoi gwybod i destunau data y proseswn eu data personol mai ni yw’r rheolydd data yng nghyswllt y data hynny, a phwy yw Swyddog Diogelu Data Grŵp PCYDDS.

Mae gan unigolion nifer o hawliau’n gysylltiedig â’u data personol. Gallant ei gwneud yn ofynnol i’r sefydliad wneud y canlynol:

• cywiro data anghywir;
• atal prosesu data neu ddileu data nad yw’n angenrheidiol bellach at ddibenion prosesu;
• atal prosesu data neu ddileu data os ydy buddiannau’r unigolyn yn drech na sail gyfreithlon y sefydliad dros brosesu data (pan fo’r sefydliad yn dibynnu ar ei fuddiannau cyfreithlon fel rheswm dros brosesu data);
• atal prosesu data neu ddileu data os ydy’r prosesu’n anghyfreithlon; ac
• atal prosesu data am gyfnod os ydy data’n anghywir neu os oes anghydfod ynghylch a ydy buddiannau’r unigolyn yn drech na sail gyfreithlon y sefydliad dros brosesu data.

Er mwyn gofyn i’r sefydliad gymryd unrhyw rai o’r camau hyn, dylai’r unigolyn anfon y cais i foi@uwtsd.ac.uk.

9.1 Byddwn yn gweithredu mesurau diogelwch priodol yn erbyn prosesu data personol mewn modd sy’n anghyfreithlon neu sydd heb ei awdurdodi, ac yn erbyn colli data personol yn ddamweiniol neu ddifrod damweiniol i ddata personol. Pan fo Swyddog Diogelu Data Grŵp PCYDDS yn ystyried bod risg i breifatrwydd testunau data yn gysylltiedig ag unrhyw bolisi, proses neu brosiect arfaethedig gan Grŵp PCYDDS, bydd Grŵp PCYDDS yn cyflawni asesiad effaith diogelu data sy’n cynnwys, ymhlith pethau eraill, ddiben y gweithgarwch, risgiau a mesurau i’w gosod yn eu lle er mwyn lliniaru unrhyw risgiau posibl.

9.2 Byddwn yn rhoi gweithdrefnau a thechnolegau (gan gynnwys amgodio a defnyddio ffugenwau) yn eu lle i gynnal diogelwch yr holl ddata personol o adeg eu casglu i adeg eu dinistrio. Trosglwyddir data personol i brosesydd data dim ond os cytuna hi/ef i gydymffurfio â’r gweithdrefnau a’r polisïau hynny, neu os bydd yn rhoi mesurau digonol yn eu lle ei hun sydd wedi’u cymeradwyo gan Swyddog Diogelu Data Grŵp PCYDDS.

9.3 cymeradwyo gan Swyddog Diogelu Data Grŵp PCYDDS.
9.3 Byddwn yn cynnal diogelwch data drwy ddiogelu cyfrinachedd, cywirdeb ac argaeledd y data personol, a diffinnir hynny fel a ganlyn:

9.4 Mae cyfrinachedd yn golygu mai’r bobl sydd wedi’u hawdurdodi i ddefnyddio’r data yn unig sy’n cael mynediad iddynt.

9.5Mae cywirdeb yn golygu y dylai data personol fod yn gywir ac yn addas at y diben y’u prosesir ato.

9.6 Mae argaeledd yn golygu y dylai defnyddwyr awdurdodedig allu cael mynediad i’r data os oes eu hangen arnynt at ddibenion awdurdodedig. Felly dylai data personol gael eu storio ar system gyfrifiadurol ganolog y Brifysgol ac ar gyfrifiaduron y cyflogeion hynny sydd wedi’u hawdurdodi gan uwch reolwyr (“unigolion awdurdodedig”) i gael mynediad i’r wybodaeth honno. Pe bai’n angenrheidiol, yn eithriadol, i unigolion awdurdodedig ddal data categori arbennig a data personol ar gyfrifiaduron, gliniaduron, llechi neu unrhyw ddyfais arall y tu allan i’r Brifysgol, dylai’r holl ddata o’r fath gael eu hamgodio.

9.7 Mae gweithdrefnau diogelwch yn cynnwys:

1. Rheoli mynediad. Dylid adrodd wrth Reolwr Llinell ynghylch unrhyw ddieithryn a welir mewn ardaloedd lle rheolir mynediad.
2. Desgiau a chypyrddau diogel â chlo. Dylid cadw desgiau a chypyrddau dan glo os oes gwybodaeth gyfrinachol o unrhyw fath ynddynt. (Ystyrir bod gwybodaeth bersonol yn gyfrinachol bob amser.)
3. Dulliau gwaredu. Dylid rhwygo dogfennau papur neu eu gwaredu yn unol â pholisi’r Brifysgol ar wastraff cyfrinachol a’r Polisi Rheoli Cofnodion. Dylid dinistrio dyfeisiau storio digidol yn ffisegol pan nad oes eu hangen bellach.
4. Offer. Rhaid i ddefnyddwyr data sicrhau nad yw monitorau unigol yn dangos gwybodaeth gyfrinachol i rai sy’n mynd heibio a’u bod yn allgofnodi o’u cyfrifiadur pan nad ydynt yn ei oruchwylio.

9.8 Yn ôl GDPR y DU mae angen i Reolwyr hysbysu’r Comisiynydd Gwybodaeth am unrhyw Dor Diogelwch Data Personol ac, mewn rhai achosion, y Testun Data.

9.9 Rydym wedi rhoi gweithdrefnau yn eu lle i ymdrin ag unrhyw Dor Diogelwch Data Personol posibl a byddwn yn hysbysu Testunau Data a/neu’r Comisiynydd Gwybodaeth pan fo’n ofynnol yn gyfreithiol inni wneud hynny.

9.10 Dylid adrodd yn ôl ar unwaith i Swyddog Diogelu Data Grŵp PCYDDS yn foi@uwtsd.ac.uk am bob tor diogelwch. Dylech gadw pob tystiolaeth yn gysylltiedig â’r Tor Diogelwch Data Personol posibl er mwyn galluogi Swyddog Diogelu Data Grŵp PCYDDS i gynnal ei ymchwiliad ac adrodd yn ôl i’r Comisiynydd Gwybodaeth ac i Uwch Reolwyr Grŵp PCYDDS.

10.1 Gallwn drosglwyddo unrhyw ddata personol a ddaliwn i wlad y tu allan i’r Ardal Economaidd Ewropeaidd, cyhyd â bod un o’r amodau canlynol yn berthnasol:

• 110.1.1 Bod y wlad y trosglwyddir y data personol iddi yn sicrhau lefel ddigonol o ddiogelu ar gyfer hawliau a rhyddid y testunau data a gydnabyddir fel y norm yn y DU ar gyfer Diogelu Data a GDPR y DU.
  10.1.2 Bod y testun data wedi rhoi’i gydsyniad datganedig i’r trosglwyddo.
  10.1.3 Bod y trosglwyddo’n angenrheidiol am un o’r seiliau cyfreithiol a nodir yn GDPR y DU, yn cynnwys, ymhlith pethau eraill, cyflawni contract rhwng Grŵp PCYDDS a’r testun data, neu er mwyn diogelu buddiannau sy’n allweddol i fywyd y testun data.
  10.1.4 Bod y trosglwyddo’n ofynnol yn gyfreithiol ar sail bwysig o ran budd y cyhoedd neu er mwyn sefydlu, arfer neu amddiffyn hawliau cyfreithiol.
• 10.1.5 Bod y trosglwyddo wedi’i awdurdodi gan yr awdurdod diogelu data perthnasol lle rydym wedi cyflwyno mesurau diogelu digonol o ran diogelu preifatrwydd y testun data, ei hawliau a’i ryddid sylfaenol, a’r gallu i arfer ei hawliau.

10.2 Yn amodol ar y gofynion yng nghymal 10 uchod, gall data personol a ddaliwn gael eu prosesu hefyd gan staff sy’n gweithio i ni neu i un o’n cyflenwyr ac sy’n gweithredu y tu allan i’r Ardal Economaidd Ewropeaidd. Gall y staff hynny fod yn ymwneud â chyflawni contractau gyda’r testun data, prosesu manylion taliadau a darparu gwasanaethau cymorth, ymhlith pethau eraill.

11.1 Gallwn rannu data personol a ddaliwn ag unrhyw aelod o Grŵp PCYDDS.
11.2 Hefyd gallwn ddatgelu data personol a ddaliwn i drydydd partïon:
11.3 Os gwerthwn neu prynwn unrhyw fusnes neu asedau. Yn yr achos hwn gallwn ddatgelu data personol a ddaliwn i ddarpar werthwr neu brynwr y busnes neu asedau hynny.
11.4 Os bydd trydydd parti’n caffael ein holl asedau neu ein holl asedau o ran sylwedd. Yn yr achos hwn bydd data personol a ddaliwn yn un o’r asedau a drosglwyddir.
11.5 Hefyd gallwn ddatgelu data personol neu ddata categori arbennig os ydym dan ddyletswydd gyfreithiol i ddatgelu neu i rannu data personol testun data er mwyn cydymffurfio ag unrhyw rwymedigaeth gyfreithiol, neu er mwyn gorfodi neu gymhwyso unrhyw gontract neu gytundebau eraill gyda’r testun data; neu er mwyn diogelu ein hawliau, ein heiddo, neu ddiogelwch ein cyflogeion, ein cwsmeriaid neu eraill. Mae hyn yn cynnwys cyfnewid gwybodaeth â chwmnïau a sefydliadau eraill at ddibenion diogelu rhag twyll a lleihau risg credyd.
11.6 Hefyd gallwn rannu data personol a ddaliwn â thrydydd partïon dethol, ond yn amodol ar y mesurau diogelu yn y polisi hwn a GDPR y DU.

1. Gall testunau data wneud cais ffurfiol am wybodaeth a ddaliwn amdanynt (cais am fynediad at ddata gan y testun). Rhaid gwneud hyn yn ysgrifenedig. Dylai cyflogeion sy’n derbyn cais ysgrifenedig ei anfon ymlaen at Swyddog Diogelu Data Grŵp PCYDDS yn foi@uwtsd.ac.uk ar unwaith.
2. Wrth dderbyn ymholiadau ffôn, byddwn yn datgelu data personol a ddaliwn ar ein systemau os bodlonir yr amodau canlynol yn unig:
   1. Byddwn yn gwirio pwy yw’r galwr er mwyn sicrhau y rhoddir gwybodaeth i unigolyn sydd â hawl iddi’n unig.
   2. Byddwn yn awgrymu bod y galwr yn gwneud cais ysgrifenedig os nad ydym yn siŵr pwy yw’r galwr ac os na ellir gwirio pwy yw.
3. Os bydd unrhyw amheuaeth neu yn achos ymholiadau anodd, anarferol, rhaid cyfeirio materion at Swyddog Diogelu Data Grŵp PCYDDS.

Rydym yn ddarostyngedig i reoliadau a deddfau preifatrwydd penodol wrth farchnata i’n myfyrwyr, cyn-fyfyrwyr a chwsmeriaid. Mae angen cydsyniad blaenorol Testun Data ar gyfer marchnata uniongyrchol electronig (er enghraifft, drwy e-bost, neges destun neu alwadau wedi’u hawtomeiddio). Mae’r eithriad cyfyngedig ar gyfer cwsmeriaid presennol a elwir yn ‘optio i mewn meddal’ yn caniatáu i ni anfon negeseuon neu e-byst marchnata atoch os ydym wedi cael manylion cyswllt yn ystod ein perthynas â chi; ein bod yn marchnata cynnyrch neu wasanaethau tebyg i chi; a’n bod wedi rhoi cyfle i chi optio allan o e-byst marchnata gennym ni pan gasglom ni eich manylion yn y lle cyntaf ac ymhob neges ddilynol rydym wedi’i hanfon atoch.

Mae Grŵp PCYDDS yn cadw’r hawl i newid y polisi hwn ar unrhyw adeg gyda chaniatâd y Pwyllgor perthnasol. Pan fo’n briodol, byddwn yn hysbysu testunau data am y newidiadau hynny drwy’r post neu e-bost.