Polisi Diogelu Data

Mae’r polisi hwn yn disgrifio ein hymagwedd tuag at ddiogelu data personol, yn unol â Deddf Diogelu Data 1998.

Fersiwn:	Fersiwn 5
Dyddiad:	02/06/2023
Awdur/Awduron:	Rheolwr Llywodraethu Gwybodaeth Gorfforaethol
Ymgynghorai/Ymgyngoreion:	Tîm Rheoli Corfforaethol; Uwch Berchennog Risg Gwybodaeth; Gwasanaethau Cyfreithiol; Tîm Prosiect Llywodraethu Gwybodaeth
Cymeradwywyd gan:	Cabinet
Amlder adolygu:	Bob 2 flynedd
Dyddiad yr adolygiad nesaf:	2025

Amcan y polisi

Mae gweinyddu a darparu gwasanaethau o safon yn cynnwys prosesu data personol am bobl. Mae'r Cyngor wedi ymrwymo i reoli data personol yn effeithiol ac yn gyfreithlon i gynnal hyder rhwng y rhai rydyn ni'n delio â nhw a'r Cyngor.

Mae'r polisi hwn yn disgrifio dull Cyngor Bwrdeistref Sirol Caerffili o ymdrin â data personol.

Cwmpas a diffiniadau

Mae'r polisi hwn yn cwmpasu rhwymedigaethau'r Cyngor o dan yr holl ddeddfwriaeth sy'n berthnasol yn y Deyrnas Unedig sy'n cwmpasu diogelu data a phreifatrwydd, ac yn cyfeirio at y diffiniadau yn Rheoliad Cyffredinol y DU ar Ddiogelu Data 2016 (“GDPR y DU”) a Deddf Diogelu Data 2018.

Mae ‘data personol’ yn cael ei ddiffinio fel unrhyw wybodaeth sy'n ymwneud â pherson naturiol adnabyddedig neu adnabyddadwy sy'n gallu cael ei adnabod naill ai'n uniongyrchol neu'n anuniongyrchol o wybodaeth am yr unigolyn hwnnw [Erthygl 4(1), GDPR y DU]. Mae rhai categorïau penodol o ddata yn destun mesurau diogelu ychwanegol, ac yn cynnwys y canlynol:

Tarddiad hil neu ethnig
Credoau crefyddol neu gredoau eraill o natur gyffelyb
Barn wleidyddol
Iechyd neu gyflwr corfforol neu feddyliol
Data genetig
Data biometrig (pan fyddan nhw'n cael eu defnyddio at ddibenion adnabod)
Bywyd rhywiol neu gyfeiriadedd rhywiol
Aelodaeth undeb llafur
Honiadau troseddol, achosion, canlyniadau a dedfrydau

Ystyr ‘prosesu’ data personol yw unrhyw weithrediad neu set o weithrediadau sy'n cael eu cyflawni ar ddata personol neu setiau o ddata personol, boed hynny trwy ddulliau awtomataidd neu beidio, megis casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu trwy drosglwyddo, lledaenu; neu fel arall drefnu i ddata personol fod ar gael pan fo angen a sicrhau bod yr wybodaeth honno’n cael ei dileu a/neu ei gwaredu pan nad oes ei hangen mwyach [Erthygl 4(2), GDPR y DU].

Mae'r polisi yn berthnasol i'r holl gyflogeion, aelodau etholedig ac unigolion/sefydliadau eraill sy'n gweithredu ar ran y Cyngor sydd â mynediad at wybodaeth bersonol y mae'r Cyngor yn gyfrifol amdani.

Mae gweithdrefnau manwl yn cyd-fynd â'r polisi hwn i gyfarwyddo prosesu gwybodaeth bersonol mewn modd teg, cyfreithlon a thryloyw.

Egwyddorion diogelu data

Dim ond yn unol â chyfreithiau ar breifatrwydd a diogelu data y bydd data personol yr holl randdeiliaid – defnyddwyr gwasanaeth, cyflogeion, cyflenwyr ac eraill presennol, blaenorol ac arfaethedig – yn cael eu prosesu, gan gadw'n benodol at egwyddorion GDPR y DU sef bod yn rhaid i ddata personol:

cael eu prosesu yn gyfreithlon, yn deg ac mewn modd tryloyw (‘cyfreithlondeb, tegwch a thryloywder’);
cael eu casglu at ddibenion penodol, eglur a chyfreithlon (‘cyfyngiadau diben’);
bod yn ddigonol, yn berthnasol ac yn gyfyngedig i'r hyn sy'n angenrheidiol (‘lleihau data’);
bod yn gywir a, pan fo angen, gael eu diweddaru (‘cywirdeb’);
cael eu cadw mewn ffurf sy'n caniatáu adnabod testunau data am gyfnod nad yw'n hwy na bod angen (‘cyfyngiadau storio’); ac
cael eu prosesu mewn modd sy'n sicrhau diogelwch priodol, gan gynnwys amddiffyn rhag prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn colli, dinistrio neu ddifrodi damweiniol, gan ddefnyddio mesurau technegol neu sefydliadol priodol (‘uniondeb a chyfrinachedd’).

Mae hefyd egwyddor gyffredinol o atebolrwydd sy'n ei gwneud yn ofynnol i bob sefydliad ddangos ei fod yn cydymffurfio â'r egwyddorion uchod (‘atebolrwydd’).

Bydd y Cyngor yn dangos atebolrwydd wrth gydymffurfio â hawliau unigolion sy'n cael eu nodi yn y gyfraith diogelu data, gan gynnwys eu hawl:

i gael gwybod sut mae data personol yn cael eu casglu, eu storio, eu rheoli, eu diogelu a'u prosesu;
i gael mynediad (mynediad at ddata gan y testun) i wneud cais am gopi o ddata personol sy'n cael eu cadw amdanoch chi. Fodd bynnag, byddwch yn ymwybodol y gall gwybodaeth gael ei dal yn ôl yn gyfreithlon weithiau;
i gywiro data personol anghywir neu anghyflawn;
i ddileu (hawl i gael eich anghofio), sef bod gennych chi'r hawl i gael eich data personol wedi'u dileu o dan rai amgylchiadau. Nid yw hyn yn cynnwys unrhyw ddata personol y mae'n rhaid eu cadw yn ôl y gyfraith;
i gyfyngu ar brosesu, sy'n caniatáu i chi gyfyngu ar y ffordd rydyn ni'n defnyddio eich data personol mewn rhai amgylchiadau;
i gludadwyedd data, sy'n rhoi'r hawl i unigolyn gael copïau o ddata wedi'u darparu i reolwr mewn fformat cludadwy;
i wrthwynebu prosesu eich data personol; ac
mewn perthynas â gwneud penderfyniadau a phroffilio awtomataidd, sef bod gan unigolyn yr hawl i beidio â bod yn destun penderfyniad sy'n seiliedig ar brosesu awtomataidd yn unig (gan gynnwys proffilio) sy'n arwain at effeithiau cyfreithiol yn ei gylch neu sy'n effeithio'n sylweddol arno.

Atebolrwydd a monitro

Mae Swyddog Diogelu Data Statudol wedi'i ddynodi i oruchwylio'r gwaith o reoli gwybodaeth bersonol ar draws y Cyngor, gan adrodd i Uwch Berchennog Risg Gwybodaeth y Cyngor.

Mae Penaethiaid Gwasanaeth fel Perchnogion Asedau Gwybodaeth yn dilyn polisi Rheoli Risg Gwybodaeth y Cyngor, ac yn cael eu cynorthwyo gan Stiwardiaid Llywodraethu Gwybodaeth y Maes Gwasanaeth.

Bydd Asesiadau o'r Effaith ar Ddiogelu Data yn cael eu cynnal pan fo math o brosesu yn debygol o arwain at risg uchel i hawliau a rhyddid unigolion [Erthygl 35(1), GDPR y DU]. Rhaid ystyried y canlynol:

natur, cwmpas, cyd-destun a phwrpas y prosesu; ac
effaith bosibl y prosesu ar ddiogelu'r data personol dan sylw.

Mae Asesiadau o'r Effaith ar Ddiogelu Data, felly, yn cael eu defnyddio fel ffordd o asesu risg sy'n helpu nodi a lleihau risgiau diogelu data prosiect.

Mae cofnod o weithgareddau prosesu data personol yn cael ei gadw gan bob Maes Gwasanaeth, ac mae'r ffordd y mae'r wybodaeth yn cael ei rheoli yn cael ei gwerthuso'n rheolaidd gan ddefnyddio Asesiadau o'r Effaith ar Breifatrwydd pan fo'n briodol.

Mae hysbysiadau preifatrwydd clir ac amserol yn cael eu cyfathrebu sy'n galluogi testun y data i ddeall sut mae eu data personol yn cael eu defnyddio.

Mae data personol yn cael eu rhannu yn unol â phrotocolau wedi'u cymeradwyo, gan gynnwys:

Fframwaith Cytundeb Rhannu Gwybodaeth Bersonol Cymru ar gyfer rhannu data rheolaidd neu unffordd â sefydliadau partner, megis y GIG, yr heddlu, neu'r gwasanaeth tân
Cytundebau Prosesu Data gyda chyflenwyr y Cyngor i amlinellu rhwymedigaethau a chyfrifoldebau'r ddau barti sy'n ymrwymo i gontract.

Gall y Cyngor hefyd gael ceisiadau ad hoc am wybodaeth gan asiantaethau allanol, fel yr heddlu, y Swyddfa Gartref, a'r Adran Gwaith a Phensiynau. Mae'r Uned Llywodraethu Gwybodaeth Gorfforaethol yn ystyried y ceisiadau hyn, a dim ond pan fo'r gyfraith yn caniatáu y bydd yn datgelu data personol.

Bydd gwaredu data personol yn gwbl unol â Gweithdrefn Cadw a Gwaredu Cofnodion y Cyngor.

Mae pawb sy'n prosesu gwybodaeth bersonol yn deall eu cyfrifoldebau ac yn cael gwybodaeth briodol i'w cynorthwyo nhw, gan gynnwys hyfforddiant blynyddol.

Cwynion a digwyddiadau diogelu data

Gall methu â chydymffurfio â'r gyfraith ynglŷn â diogelu data arwain at y canlynol:

Canlyniadau difrifol i unigolion y mae'r data'n ymwneud â nhw, gan gynnwys embaras, gofid, colled ariannol;
Difrod anadferadwy i enw da'r Cyngor a cholli hyder yng ngallu'r Cyngor i reoli gwybodaeth yn iawn;
Cosbau ariannol a hawliadau iawndal;
Camau gorfodi gan y Comisiynydd Gwybodaeth; ac
Atebolrwydd personol am rai troseddau penodol ac am dorri'r Cod Ymddygiad Cyflogeion neu Aelodau Etholedig.

Gellir gwneud cwynion neu fynegi pryderon i Swyddog Diogelu Data'r Cyngor, a byddan nhw'n cael eu trin yn unol â Gweithdrefn Gwyno Llywodraethu Gwybodaeth y Cyngor.