Yn ôl

Polisi diogelu data

Wedi ei gyhoeddi: 1 Rhagfyr 2021

Diweddarwyd diwethaf: 1 Rhagfyr 2021

I ba wledydd mae hyn yn berthnasol?

  • Lloegr
  • Alban
  • Cymru

Cyflwyniad

Mae deddfwriaeth diogelu data yn rheoleiddio prosesu gwybodaeth sy’n ymwneud ag unigolion – gan gynnwys data personol, categorïau arbennig o ddata personol a data sy’n ymwneud ag euogfarnau neu droseddau troseddol.

Data personol yw unrhyw wybodaeth yn gysylltiedig â pherson naturiol (a elwir fel arfer yn wrthrych data) y gellir eu defnyddio i adnabod y person yn uniongyrchol neu'n anuniongyrchol. Gall hyn gynnwys cyfeiriad at ddynodwyr megis rhif adnabod, data lleoliad neu ddynodwr ar-lein megis cyfeiriad IP.

Mae categorïau arbennig o ddata personol yn cynnwys gwybodaeth am darddiad hiliol neu ethnig person, barn wleidyddol, credoau crefyddol neu athronyddol, aelodaeth undeb llafur, iechyd corfforol neu feddyliol, bywyd rhyw neu gyfeiriadedd rhywiol, data genetig a biometreg pan ei ddefnyddir i adnabod unigolyn yn unigryw.

Mae data sy'n ymwneud ag euogfarnau neu droseddau honedig neu wirioneddol yn gategori arall o ddata y mae'n rhaid ei drin â gofal.

Yn ystod ein gweithgareddau, byddwn yn prosesu data personol am ein rhanddeiliaid, cleientiaid, cyflenwyr, staff, Comisiynwyr, Aelodau'r Pwyllgor a thrydydd partïon eraill.  Rydym yn cydnabod bod prosesu cywir a chyfreithlon y data hyn yn bwysig. Mae'r polisi hwn yn nodi sut y byddwn yn prosesu pob math o ddata personol i'n galluogi i gyflawni ein swyddogaethau yn unol â gofynion cyfreithiol.

Mae'r polisi diogelu data hwn yn seiliedig ar ofynion deddfwriaeth diogelu data.

Cyfrifoldebau

Mae ein Pwyllgor Archwilio a Sicrwydd Risg (ARAC) yn darparu goruchwyliaeth o sicrwydd a risg diogelu data ar ran y Bwrdd.

Ein Tîm Arwain yw'r uwch dîm rheoli a fydd yn cymeradwyo dogfennau / prosesau diogelu data ac maent yn atebol i'r Bwrdd am gydymffurfiaeth a sicrwydd diogelu data.

Yr Uwch Berchennog Risg Gwybodaeth (SIRO) yw'r Cyfarwyddwr sy'n atebol i'r Tîm Arwain a'r Bwrdd am risg gwybodaeth.

Mae'n Grŵp Llywio Llywodraethu Gwybodaeth (IGSG) yn cefnogi'r SIRO i ddatblygu a gwella'r broses o reoli materion llywodraethu gwybodaeth a diogelu data.

Mae'r Swyddog Diogelu Data (DPO) yn gyfrifol am ein cynghori ar ddiogelu data. Mae mwy o fanylion am rôl y DPO i'w gweld yn adran Atebolrwydd y polisi hwn. Mae’r DPO yn adrodd i'r Tîm Arwain, ARAC a'r Bwrdd.

Mae Perchnogion Data yn gyfrifol am ddiogelu gwybodaeth yn eu meysydd busnes a byddant yn sicrhau bod data personol yn cael eu prosesu yn unol â’n polisïau a gweithdrefnau, a deddfwriaeth diogelu data. Bydd y Tîm Llywodraethu Gwybodaeth yn delio â  cheisiadau  gan wrthrychau data o dan ddeddfwriaeth diogelu data mewn perthynas â'u data personol.

Mae’n holl staff yn gyfrifol am sicrhau:

  • eu bod yn cydymffurfio â'r polisi hwn a'r holl bolisïau a gweithdrefnau cysylltiedig ar gyfer trin data personol
  • y caiff unrhyw ddata personol a gedwir mewn fformat electronig neu ar bapur eu prosesu'n ddiogel ac yn unol â gofynion deddfwriaeth diogelu data
  • nad yw gwybodaeth bersonol yn cael ei datgelu yn fwriadol neu'n ddamweiniol, naill ai ar lafar neu'n ysgrifenedig, i unrhyw drydydd parti anawdurdodedig
  • yr adroddir unrhyw ddigwyddiadau neu doriadau yn syth yn unol â gofynion adrodd mewnol
  • eu bod yn anfon unrhyw ffurfiau o geisiadau sy’n gysylltiedig â data personol o wrthrychau data yn brydlon i'r Tîm Llywodraethu Gwybodaeth  ac, pan ofynnir iddynt wneud hynny, darparu ymatebion yn brydlon i geisiadau ac adolygiadau
  • y caiff data personol eu rheoli a'u cadw yn unol â'n Polisi a Gweithdrefn Rheoli Cofnodion a Chadw, a'r amserlen gadw gysylltiedig
  • eu bod yn prosesu data personol at y dibenion a fwriadwyd yn unig
  • bod yr wybodaeth a roddir mewn cysylltiad â'u cyflogaeth neu eu hymgysylltiad yn gywir ac mor gyfoes â phosibl, a
  • bod data personol y maent yn eu casglu a'u defnyddio i gyflawni eu swyddogaethau mor gyfoes â phosibl.

Egwyddorion diogelu data

Crynodeb o egwyddorion diogelu data

Mae deddfwriaeth diogelu data yn cwmpasu cofnodion cyfrifiadurol a llaw sy'n cynnwys data personol, ac mae'n nodi hawliau ac egwyddorion y mae'n rhaid i'r rhai sy'n defnyddio data personol eu dilyn. Rhaidi i ni gydymffurfio ag egwyddorion diogelu data arfer da sy'n sail i'r  Rheoliad Diogelu Data Cyffredinol (UK GDPR). Mae'r rhain yn datgan y bydd data personol:

  • yn cael eu prosesu’n gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas ag unigolion gwrthrych y data (‘cyfreithlondeb, tegwch a thryloywder’)
  • yn cael eu casglu at ddibenion penodol, eglur a chyfreithlon ac nad yw’n cael eu prosesu ymhellach mewn modd sy'n anghydnaws â'r dibenion hynny; ni ystyrir bod prosesu pellach at ddibenion archifo er budd y cyhoedd, dibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn anghydnaws â'r dibenion cychwynnol (‘cyfyngiad pwrpas’)
  • yn ddigonol, yn berthnasol ac yn gyfyngedig i'r hyn sy'n angenrheidiol mewn perthynas â'r dibenion y maent yn cael eu prosesu ar eu cyfer (‘lleihau data’)
  • yn gywir ac, lle bo angen, yn cael eu diweddaru; rhaid cymryd pob cam rhesymol i sicrhau bod data personol sy'n anghywir, gan roi sylw i'r dibenion y maent yn cael eu prosesu ar eu cyfer, yn cael eu dileu neu eu cywiro heb oedi ('cywirdeb')
  • yn cael eu cadw mewn ffurf sy'n caniatáu adnabod gwrthrychau data am ddim hirach na'r hyn sy'n angenrheidiol at y dibenion y mae'r data personol yn cael eu prosesu; gellir storio data personol am gyfnodau hirach i'r graddau y bydd y data personol yn cael eu prosesu yn unig at ddibenion archifo er budd y cyhoedd, dibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn amodol ar weithredu'r mesurau technegol a sefydliadol priodol sy'n ofynnol gan y UK GDPR er mwyn diogelu hawliau a rhyddid  gwrthrych y data (‘cyfyngiad storio’), a
  • yn cael eu prosesu mewn modd sy'n sicrhau diogelwch priodol y data personol, gan gynnwys amddiffyn rhag prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn colli, dinistrio neu ddifrod damweiniol, gan ddefnyddio mesurau technegol neu drefniadol priodol (‘uniondeb a chyfrinachedd’).

Prosesu cyfreithlon, teg a thryloyw

Nid yw'r UK GDPR yn bwriadu atal prosesu data personol, ond i sicrhau ei fod yn cael ei wneud yn deg a heb effeithio'n andwyol ar hawliau gwrthrych y data.

Er mwyn prosesu data personol yn gyfreithlon, rhaid i o leiaf un o'r chwech sail cyfreithiol a nodir ar gyfer prosesu yn y UK GDPR  fod yn berthnasol. Mae'r rhain yn cynnwys lle:

  • mae gwrthrych y data yn caniatáu’r prosesu
  • mae angen prosesu ar gyfer perfformiad contract gyda'r gwrthrych data, neu gymryd camau ar ofyn gwrthrych y data cyn ymrwymo i gontract
  • mae angen prosesu ar gyfer cydymffurfio â rhwymedigaeth gyfreithiol y mae'r rheolwr data yn ddarostyngedig iddi
  • mae angen prosesu i ddiogelu buddiannau hanfodol gwrthrych y data neu berson naturiol arall
  • mae angen prosesu ar gyfer perfformiad tasg a gyflawnir er budd y cyhoedd neu wrth arfer awdurdod swyddogol a freiniwyd yn y rheolydd data, neu
  • mae angen y prosesu at ddibenion y buddiannau cyfreithlon a ddilynir gan y rheolydd data neu gan drydydd parti.

Pan fydd data categorïau personol neu ddata’n ymwneud ag euogfarnau troseddol arbennig yn cael eu prosesu, rhaid bodloni amodau ychwanegol. Wrth brosesu'r categori hwn o ddata personol fel rheolwr data yn ystod ein busnes, byddem yn sicrhau bod yr amodau hynny yn cael eu bodloni.

Yn ystod ein gwaith, efallai y byddwn yn casglu a phrosesu data personol i'n galluogi i:

  • cyflawni ein dyletswyddau rheoliadol gan gynnwys, ond heb fod yn gyfyngedig i, ystyried ac ymchwilio i gwynion a materion polisi, camau gorfodi ffurfiol, darparu cyngor a gwybodaeth
  • cynnal cyfrifon a chofnodion
  • cefnogi a rheoli staff, Comisiynwyr ac Aelodau Pwyllgor
  • anfon cyfathrebiadau hyrwyddo am y gwasanaethau a ddarperir gennym
  • ymgymryd ag ymchwil
  • cynnal cofrestr gyhoeddus
  • cyflawni swyddogaethau cymorth mewnol ac allanol
  • cynnal gweinyddiaeth gorfforaethol, a
  • defnyddio systemau teledu cylch cyfyng (CCTV) ar gyfer diogelwch staff ac ymwelwyr ac atal troseddau.

Gallwn brosesu data a dderbynnir yn uniongyrchol o wrthrych data (er enghraifft, trwy lenwi ffurflenni neu drwy gyfateb â ni trwy'r post, dros y ffôn, e-bost neu fel arall) a data a dderbynnir o ffynonellau eraill (gan gynnwys, er enghraifft, mewn achosion llys, neu o bartneriaid busnes, isgontractwyr ac eraill).

Gellir brosesu gwybodaeth am gategorïau o ddata personol arbennig, neu wybodaeth sy'n ymwneud ag euogfarnau troseddol neu droseddau, am amryw o resymau, gan gynnwys, ond heb fod yn gyfyngedig i:

  • monitro cyfle cyfartal
  • diwallu anghenion unigolion â nodweddion gwarchodedig
  • achosion disgyblu neu gwyno
  • cyflawni rhwymedigaeth gyfreithiol, a / neu
  • cyflawni ein rôl a swyddogaeth, gan gynnwys at ddibenion ymgyfreitha.

Dim ond at y dibenion y cafodd eu casglu y budd unrhyw ddata personol, data categorïau arbennig neu ddata euogfarnau troseddol yn cael eu prosesu. Rhaid i’r holl staff fod yn ymwybodol a pharchu eu rhwymedigaethau mewn perthynas â natur gyfrinachol y wybodaeth y maent yn ei thrin ac, yn benodol, unrhyw ddyletswydd cyfrinachedd a all fodoli.

Byddwn Comisiwn yn prosesu data personol yn unol â disgwyliadau rhesymol yr unigolyn, gan sicrhau tegwch.

Byddwn yn sicrhau bod unigolion yn cael gwybod am sut y bydd eu data personol yn cael eu prosesu a bydd yn sicrhau bod y wybodaeth hon ar gael iddynt. Byddwn yn glir o'r cychwyn (adeg casglu) pam y casglir data personol a'r hyn yr ydym yn bwriadu ei wneud gyda’r data, a byddwn yn darparu hysbysiadau o'r fath i'r unigolion perthnasol.

Wedi'u casglu at ddiben(ion) penodol a dilys

Byddwn yn nodi pwrpas neu bwrpasau penodol ar gyfer data rydym yn prosesu, a byddwn hefyd yn sicrhau na chaiff y data eu defnyddio at unrhyw ddiben(ion) arall(eraill) sy'n anghydnaws â'r pwrpas(au) gwreiddiol.

Prosesu data digonol, perthnasol a chyfyngedig

Byddwn yn casglu'r data personol lleiaf sydd eu hangen ar gyfer y diben penodol a hysbysir i'r gwrthrych data yn unig. Byddwn yn rhoi gwybodaeth bersonol yn ddienw neu â ffugenw pryd bynnag y bo hynny'n bosibl er mwyn sicrhau bod data'n cael eu gwarchod ymhellach.

Cywirdeb

Byddwn yn sicrhau bod y data personol y mae'n eu cadw yn gywir ac yn gyfoes a byddwn yn gwirio cywirdeb unrhyw ddata personol yn rheolaidd. Bydd data personol anghywir neu hen ddata yn cael eu dileu neu eu diwygio a chymerir pob cam rhesymol i gadw cofnodion cywir.

Cadw

Rydym yn cadw gwahanol fathau o wybodaeth am gyfnodau gwahanol, yn dibynnu ar y gofynion cyfreithiol a gweithredol, a byddwn yn cadw rhywfaint o ddata personol yn hirach nag eraill yn unol â gofynion ariannol, cyfreithiol neu archifol.

Ni fyddwn yn cadw data personol yn hirach nag sy'n angenrheidiol at y diben neu'r dibenion y cawsant eu prosesu. Pan nad oes angen data personol mwyach, caiff eu gwaredu'n ddiogel oni bai bod unrhyw sail gyfreithiol neu sail arall ar gyfer cadw'r data.

Diogelwch data personol

Byddwn yn sicrhau bod mesurau diogelwch priodol yn eu lle fel bod data personol yn cael eu cadw'n ddiogel a'u diogelu rhag prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn colli, dinistrio neu ddifrod damweiniol. Bydd data personol yn cael eu trosglwyddo i drydydd partïon ond gyda sicrwydd diogelwch priodol a chyda rheolaethau diogelwch priodol yn eu lle.

Byddwn yn gweithredu a chynnal diogelwch data trwy ddiogelu cyfrinachedd, uniondeb ac argaeledd y data personol, a ddiffinnir fel a ganlyn:

  • Cyfrinachedd: dim ond pobl sydd wedi'u hawdurdodi ac sydd angen gweld y data all eu gweld.
  • Uniondeb: bydd data personol yn gywir ac yn ddibynadwy ar gyfer y pwrpas y mae eu hangen.
  • Argaeledd: bydd defnyddwyr awdurdodedig yn gallu defnyddio'r data pan fydd eu hangen arnynt at ddibenion awdurdodedig.

Mae’r camau y byddwn yn eu cymryd i sicrhau diogelwch data personol yn cynnwys:

  • rheoli mynediad at ddata personol ar sail 'angen gwybod'
  • rhoi polisïau, gweithdrefnau a phrosesau ar waith i sicrhau diogelwch data personol
  • sicrhau hyfforddiant ac ymwybyddiaeth barhaus i staff
  • sicrhau sicrwydd diogelwch gan drydydd partïon a rhoi cytundebau ar waith i ddiogelu data personol
  • lle bo'n briodol, defnyddio ffugenw ac amgryptio data personol
  • cynnal adolygu a phrofi systemau a gwasanaethau prosesu yn barhaus
  • cynnal gwiriadau ansawdd data i sicrhau bod y data'n gywir
  • adfer mynediad at ddata personol mewn modd amserol pe bai digwyddiad ffisegol neu dechnegol, a
  • phrofi, asesu a gwerthuso effeithiolrwydd mesurau technegol a threfniadol ar gyfer sicrhau diogelwch y prosesu yn rheolaidd.

Atebolrwydd

Byddwn yn cynnal fframwaith diogelu data gynhwysfawr ar draws y sefydliad a strwythur llywodraethu mewnol i feithrin diwylliant o ddiogelu data ar draws y sefydliad. Bydd hyn yn cynnwys:

  • cofrestr asedau gwybodaeth (IAR) sy’n ymgorffori ein cofnod o weithgareddau prosesu (ROPA)
  • diogelu data trwy ddylunio ac yn ddiofyn
  • cynnal asesiadau effaith diogelu data (DPIA) lle bo angen
  • polisïau a gweithdrefnau gan gynnwys prosesau rheoli digwyddiadau diogelwch
  • contractau â thrydydd partïon, a
  • penodi Swyddog Diogelu Data (DPO).

Byddwn hefyd yn sicrhau ein bod yn talu'r ffioedd diogelu data gofynnol i Swyddfa’r Comisiynydd Gwybodaeth (ICO) o dan Ddeddf Diogelu Data 2018.

Cofrestr asedau gwybodaeth a chofnod o weithgareddau prosesu

Bydd cofrestr asedau gwybodaeth (IAR) yn cael ei chynnal sy'n cynnwys manylion am ba asedau gwybodaeth rydym yn ei dal a sut rydym yn cydymffurfio â'r egwyddorion diogelu data ar gyfer unrhyw asedau sy’n cynnwys data personol. Mae’r IAR yn ymgorffori’r cofnod o weithgareddau prosesu (ROPA) sydd eihangen o dan ddeddfwriaeth diogelu data, sy’n cynnwys gwybodaeth sy'n ymwneud â'r holl weithgareddau prosesu data. Bydd y ROPA ar gael i'r ICO ar gais.

Diogelu data trwy ddylunio ac yn ddiofyn

Bydd gennym camau ar waith i sicrhau bod gweithgareddau prosesu data newydd neu rhai sydd wedi newid yn ystyried egwyddorion diogelu’r data fel rhan o'r broses dylunio gweithgaredd. Un o'r mesurau hyn yw trwy gwblhau DPIAau.

Byddwn yn sicrhau mai sefyllfa ddiofyn gweithgareddau sy'n ymwneud â phrosesu data yw diogelu preifatrwydd a hawliau amddiffyn data unigolion, er enghraifft, drwy gyfyngu ar fynediad.

Asesiadau effaith diogelu data

Byddwn yn cynnal DPIAau yn ôl yr angen.

Bydd DPIAau yn nodi manylion y gweithgaredd prosesu data ac yn cynnwys asesiad o'r risgiau sy’n wynebu unigolion. Lle bo risgiau'n codi, byddwn yn rhoi mesurau a mesurau diogelu ar waith i leihau'r risgiau hyn.

Polisïau gweithdrefnau gan gynnwys rheoli digwyddiadau diogelwch

Byddwn yn rhoi polisïau a gweithdrefnau ar waith i sicrhau cydymffurfiaeth â deddfwriaeth diogelu data. Bydd hyn yn cynnwys proses rheoli digwyddiadau diogelwch.

Mewn achos o dorri data personol, byddwn yn ymateb yn brydlon, a byddwn yn hysbysu'r ICO o fewn 72 awr o ddod yn ymwybodol o'r toriad oni bai ei fod yn annhebygol o arwain at risg uchel i’r gwrthrychau data. Pan na wneir hysbysiad o dorri o fewn 72 awr, byddwn yn darparu cyfiawnhad rhesymol dros yr oedi. Bydd gennym hefyd ystyriaeth briodol o ran a yw'n briodol neu'n ofynnol i hysbysu gwrthrychau data o'r toriad.

Pan fyddem yn prosesu data personol categorïau arbennig neu ddata sy'n ymwneud ag euogfarnau troseddol neu droseddau, bydd gennym ddogfen bolisi briodol yn ei lle fel y nodir yn Neddf Diogelu Data 2018.

Contractau â thrydydd partïon 

Bydd achosion lle byddwn yn gweithio gyda thrydydd partïon mewn perthynas â phrosesu data personol.

Pan fyddwn yn defnyddio proseswyr data i brosesu data personol, byddwn yn sicrhau bod cytundeb neu gontract prosesu data ar waith i arwain trydydd partïon i brosesu'r data yn unol â’n cyfarwyddiadau dogfennol, oni bai bod y gyfraith yn nodi fel arall. Byddwn ond yn gweithio â phroseswyr data sy’n gallu dangos diogelwch sy'n briodol i'r risg sy'n gysylltiedig â'r math o ddata y byddant yn eu prosesu. Byddwn yn sicrhau bod ein proseswyr data yn darparu'r wybodaeth angenrheidiol i ddangos cydymffurfiaeth â'u rhwymedigaethau o dan ddeddfwriaeth diogelu data. Byddwn hefyd yn sicrhau bod ein Polisi Diogelwch Gwybodaeth yn cael ei fodloni.

Pan fyddwn yn cydweithio neu’n gweithio ar y cyd â sefydliadau eraill, byddwn yn sicrhau bod cytundeb priodol ar waith i sicrhau diogelu data a diogelwch, er enghraifft, drwy gytundeb rhannu data.

Penodi Swyddog Diogelu Data (DPO)

Fel corff cyhoeddus anadrannol, mae'n ofynnol i ni benodi swyddog diogelu data (DPO) i gynghori ar ein rhwymedigaethau o dan ddeddfwriaeth diogelu data. Mae'r DPO yn gyfrifol am gynghori'r sefydliad; codi ymwybyddiaeth a hyfforddi staff; monitro cydymffurfiaeth â deddfwriaeth diogelu data a pholisïau mewnol sy'n ymwneud â diogelu data, ac archwiliadau cysylltiedig; neilltuo cyfrifoldebau; cynghori ar yr angen am  DPIAau, eu cwblhau ac ymagwedd tuag atynt; a gweithredu fel y pwynt cyswllt â Swyddfa'r Comisiynydd Gwybodaeth (ICO).

Wrth ddarparu cyngor, bydd y DPO yn ystyried y risg sy'n gysylltiedig â gweithgareddau prosesu data, gan ystyried eu natur, eu cwmpas, eu cyd-destun a'u pwrpas.

Bydd y DPO hefyd ar gael i wrthrychau data o ran ein prosesu o’u data.

Byddwn yn rhoi enw a manylion cyswllt y DPO i'r ICO.

Hawliau gwrthrychau’r data

Byddwn yn prosesu unrhyw ddata personol yn unol â hawliau gwrthrychau data. Mae gwrthrychau data yn cynnwys aelodau o'r cyhoedd, staff (o’r gorffennol a'r presennol), Aelodau'r Bwrdd ac Aelodau'r Pwyllgor ac eraill sy'n ymwneud â ni, ond heb eu cyfyngu iddynt.

Mae'r UK GDPR yn rhoi hawliau penodol i unigolion mewn perthynas â data personol rydym cadw amdanynt. Dyma’r hawliau hyn:

  • yr hawl i gael gwybod
  • hawl mynediad (ceisiadau gwrthrych am wybodaeth)
  • yr hawl i unioni
  • yr hawl i ddileu (yr hawl i gael eich anghofio)
  • yr hawl i gyfyngu prosesu
  • yr hawl i hygludedd data
  • yr hawl i wrthwynebu, a
  • hawliau mewn perthynas â gwneud penderfyniadau a phroffilio awtomataidd.

Gellir gwneud cais ar lafar neu'n ysgrifenedig, gan gynnwys trwy gyfryngau cymdeithasol. Nid oes rhaid iddo ddyfynnu ‘diogelu data’ nac enw’r hawl y mae’r person yn ei ddefnyddio, a gellir gwneud y cais i unrhyw berson neu faes busnes. Bydd yr holl staff yn cael eu hatgoffa o'r hawliau yn ystod hyfforddiant gorfodol blynyddol i'w cynorthwyo i adnabod pryd y gwneir cais.

Byddwn yn ymateb i geisiadau hawliau unigol a gyflwynir gan wrthrych y data o fewn mis o'u derbyn, ond gellir ymestyn hyn hyd at ddau fis yn achos ceisiadau cymhleth a / neu niferus. Mewn achosion o'r fath, bydd gwrthrych y data yn cael ei hysbysu o'r angen am yr estyniad.

Yr hawl i gael gwybod

Mae gan wrthrychau data’r hawl i gael gwybod sut mae eu data'n cael eu prosesu a chyfeirir at hyn fel arfer fel hysbysiad preifatrwydd.

Byddwn yn cyhoeddi, neu'n gwneud ar gael, hysbysiadau preifatrwydd tryloyw a hawdd o ran hygyrchedd i wrthrychau data yn unol â'r hawl i gael gwybod.

Hawl mynediad

Gall gwrthrych data wneud cais am fynediad y gwrthrych (SAR) ar unrhyw adeg i ddarganfod pa ddata personol  rydym yn eu cadw amdanynt ac i gael copi o’r data hynny.

Ni fyddwn yn codi ffi am drin SAR ond rydym yn cadw'r hawl i godi ffioedd rhesymol am gopïau ychwanegol o ddata sydd eisoes wedi ei rhoi i wrthrych data, ac am geisiadau sy'n amlwg yn ddi-sail neu'n ormodol, yn enwedig pan fo ceisiadau o'r fath yn ailadroddus.

Efallai y bydd achosion lle rydym yn cymhwyso eithriadau i ryddhau data penodol, er enghraifft, data sy'n ymwneud â thrydydd parti, neu gallwn wrthod darparu gwybodaeth os yw cais yn amlwg yn ddi-sail neu'n ormodol.

Yr hawl i unioni

Os yw gwrthrych data yn ein hysbysu bod y data personol a gedwir gennym amdanynt yn anghywir neu'n anghyflawn, gan ofyn iddi gael eu cywiro, bydd y data personol dan sylw yn cael eu cywiro, a bydd y gwrthrych data yn cael gwybod am y cywiro hwnnw.

Os bydd unrhyw ddata personol sy’n cael eu heffeithio wedi'u datgelu i drydydd partïon, hysbysir y partïon hynny am unrhyw unioniad o'r data personol hynny.

Cydymffurfir â'r hawl hon i'r graddau y mae'n berthnasol yn ôl y gyfraith i amgylchiadau yr achos.

Yr hawl i ddileu

Mewn rhai amgylchiadau gall gwrthrychau data ofyn I ni ddileu'r data personol rydym yn cadw amdanynt.

Pan wneir ceisiadau dilys o'r fath, cydymffurfir â cheisiadau i ddileu, a bydd y gwrthrych data yn cael ei hysbysu o'r dileu. Bydd data'n cael ei ddileu o systemau byw a systemau wrth gefn.

Os bydd unrhyw ddata personol sydd i'w dileu mewn ymateb i gais gwrthrych data wedi'u datgelu i drydydd partïon, hysbysir y partïon hynny o'r dileu oni bai ei fod yn amhosib neu y byddai angen ymdrech anghymesur i wneud hynny.

Efallai na fydd yr hawl i ddileu yn berthnasol mewn sefyllfaoedd lle mae rhwymedigaeth gyfreithiol arnom i gadw'r data, lle gawsom y data o dan sail gyfreithiol heblaw am ganiatâd neu fuddiannau dilys, neu lle mae rheswm pwysicach arall i'w cadw. Mae'r hawl i ddileu yn arbennig o bwysig pan fo'n berthnasol i ddata a gesglir gan blant.

Yr hawl i gyfyngu prosesu

Mewn rhai amgylchiadau gall gwrthrychau data ofyn I ni dod i ben â phrosesu’r data personol rydym yn cadw amdanynt.

Os bydd gwrthrych data yn gwneud cais dilys, byddwn ond yn cadw’r data personol sy'n ymwneud â'r gwrthrych data hwnnw sy'n angenrheidiol er mwyn sicrhau na fydd eu data personol yn cael eu prosesu ymhellach.

Os bydd unrhyw ddata personol sydd wedi eu heffeithio wedi'u datgelu i drydydd partïon, hysbysir y partïon hynny o'r cyfyngiadau perthnasol wrth eu prosesu oni bai ei fod yn amhosib neu y byddai angen ymdrech anghymesur i wneud hynny.

Mae'r hawl hon yn berthnasol yn bennaf pan mae’r gwrthrych data wedi dadlau cywirdeb neu ddilysrwydd y gweithgaredd prosesu, a thra bod y cywirdeb neu'r ystyriaeth dan sylw.

Yr hawl i hygludedd data

Os yw gwrthrych data wedi darparu gwybodaeth yn uniongyrchol I ni, efallai y bydd hawl ganddynt i hygludedd data. Mae hyn yn galluogi unigolion i gael ac ailddefnyddio eu data personol ar gyfer eu dibenion eu hunain ar draws gwahanol wasanaethau. Bydd yr hawl hon yn berthnasol yn unig:

  • i ddata personol y mae unigolyn wedi'u rhoi i reolwr
  • lle mae'r prosesu yn seiliedig ar ganiatâd yr unigolyn neu am berfformiad contract, a
  • pan fydd y prosesu yn cael ei wneud gan ddulliau awtomataidd.

Yr hawl i wrthwynebu

Mae gan wrthrychau data’r hawl i wrthwynebu prosesu eu data personol. Mae’r hawl hon yn berthnasol pan fo data'n cael eu prosesu ar gyfer:

  • dibenion marchnata uniongyrchol
  • tasg a wnaed er lles y cyhoedd
  • ymarfer unrhyw awdurdod swyddogol (statudol), neu
  • buddiannau cyfreithlon y Comisiwn Cydraddoldeb a Hawliau Dynol.

Mae'r hawl i wrthwynebu hefyd yn berthnasol i brosesu ar gyfer ymchwil wyddonol neu hanesyddol, neu ddibenion ystadegol, fodd bynnag, mae'n fwy cyfyngedig.

Pan fo gwrthrych data yn gwrthwynebu prosesu eu data personol ac mae'n bodloni amodau'r UK GDPR byddwn yn rhoi'r gorau i brosesu o'r fath.

Hawliau mewn perthynas â gwneud penderfyniadau a phroffilio awtomatiadd

Os byddwn yn defnyddio data personol at ddibenion gwneud penderfyniadau neu broffilio awtomataidd, ac mae gan y penderfyniadau hynny effaith gyfreithiol (neu arwyddocaol tebyg) ar wrthrych data, mae gan y  gwrthrych data’r hawl i herio penderfyniadau o'r fath dan y UK GDPR, gan ofyn am ymyrraeth ddynol, gan fynegi eu safbwynt eu hunain, a chael esboniad o'r penderfyniad gan y sefydliad. Byddwn yn parchu'r hawliau hyn i'r graddau y maent yn gymwys o dan amgylchiadau’r achos.

Sut i wneud cais yn ymwneud â data personol

Gellir gwneud ceisiadau am ddata personol a gedwir gan y Comisiwn Cydraddoldeb a Hawliau Dynol trwy:

E-bost: dp@equalityhumanrights.com

neu

Lythyr at y cyfeiriad canlynol:

Swyddog Diogelu Data / Data Protection Officer
Equality and Human Rights Commission
3rd floor Arndale House
The Arndale Centre
Manchester
M4 3AQ

Trwy ffonio 0161 829 8100.

Unwaith y byddwn yn derbyn cais, byddwn yn anfon llythyr cydnabyddiaeth i'r gwrthrych data, neu ei gynrychiolydd. Unwaith y bydd manylion llawn cais wedi eu cadarnhau ac unrhyw ID angenrheidiol wedi ei ddarparu, byddwn yn darparu ymateb llawn o fewn mis, ond gellir ymestyn hyn gan hyd at ddau fis yn achos ceisiadau cymhleth a / neu niferus.Mewn achosion o'r fath, bydd y gwrthrych data yn cael ei hysbysu o'r angen am yr estyniad.

Nid oes angen i ni gydymffurfio â chais lle rydym wedi derbyn cais o'r un fath neu debyg o'r un unigolyn, oni bai bod cyfnod rhesymol wedi mynd heibio rhwng cydymffurfio â'r cais gwreiddiol a'r cais presennol.

Hunaniaeth

Rhaid i ni gymryd camau i gadarnhau hunaniaeth y gwrthrych data cyn ymateb i gais. Bydd y gwiriadau a wneir yn rhesymol ac yn gymesur.

Adolygiadau

Os nad yw gwrthrych y data yn fodlon gyda chanlyniad ei gais, gall ofyn am adolygiad. Dylid gwneud ceisiadau am adolygiad yn ysgrifenedig gan ddefnyddio'r manylion cyswllt a ddarperir uchod.

Os na all unigolyn gysylltu â ni yn ysgrifenedig ac mae angen addasiad rhesymol oherwydd eu bod yn anabl, gallant gysylltu â ni ar 0161 829 8100.Bydd ceisiadau am adolygiad yn cael eu cydnabod o fewn pum niwrnod gwaith a bydd ymateb yn cael ei ddarparu cyn pen 20 diwrnod gwaith o’u derbyn. Os bydd gwrthrych y data yn parhau i fod yn anfodlon ar ganlyniad ei gais yn dilyn yr adolygiad, gall gwyno i’r Comisiynydd Gwybodaeth yn:

Information Commissioner's Office
Wycliffe House
Water Lane
Wilmslow
Cheshire
SK9 5AF

Fel arfer ni fydd y Comisiynydd Gwybodaeth yn delio â chwyn oni bai fod ein proses adolygu fewnol wedi dod i ben.

Trosglwyddo data personol tu allan i’r DU

Yn y rhan fwyaf o achosion, mae eich data yn aros o fewn y DU neu o fewn yr Ardal Economaidd Ewropeaidd (EEA), a gydnabyddir yng nghyfraith y DU fel un sydd â mesurau diogelu digonol ar waith i amddiffyn eich hawliau diogelu data.

O bryd i’w gilydd, gallwn drosglwyddo (mae 'trosglwyddo' yn cynnwys darparu data personol o bell) eich data personol i wledydd y tu allan i'r DU, EEA ac / neu sefydliad rhygwladol, ond yn unig os:

  • yw’r trosglwyddiad i wlad, tiriogaeth, neu un neu fwy o sectorau penodol yn y wlad honno (neu sefydliad rhyngwladol), y mae'r DU wedi penderfynu eu bod â lefelau digonol o ddiogelwch ar gyfer data personol, neu
  • mae mesurau diogelu priodol cymwys ar waith.

Ni fyddwn yn trosglwyddo data y tu allan i'r DU heb benderfyniad digonolrwydd neu fesur diogelu gymeradwy oni bai:

  • gwneir y trosglwyddiad gyda chaniatâd penodol y gwrthrych(au) data perthnasol
  • mae'r trosglwyddiad yn angenrheidiol ar gyfer perfformio neu ddod i ben â chontract gyda’r gwrthrych data, neu ar gyfer camau cyn-gontractiadol a gymerir ar gais y gwrthrych data
  • mae'r trosglwyddiad yn angenrheidiol am resymau budd cyhoeddus pwysig
  • mae angen trosglwyddo ar gyfer sefydlu, cyflawni neu amddiffyn hawliadau cyfreithiol
  • mae angen trosglwyddo i ddiogelu buddiannau hanfodol y gwrthrych data neu unigolion eraill lle mae’r gwrthrych data yn gorfforol neu'n gyfreithiol analluog i roi ei ganiatâd
  • mae'r trosglwyddiad yn cael ei wneud o gofrestr sydd, o dan gyfraith y DU, wedi’i bwriadu i ddarparu gwybodaeth i'r cyhoedd ac sydd ar gael i'r cyhoedd, yn gyffredinol neu fel arall, i'r rhai sy'n gallu dangos diddordeb cyfreithlon i weld y gofrestr, neu
  • ̶mae'r trosglwyddiad yn drosglwyddiad cyfyngedig untro, a gellir dangos yn glir ei fod er budd cyfreithlon cymhellol y Comisiwn Cydraddoldeb a Hawliau Dynol.

Datgelu a rhannu data personol

Mae angen I ni weithiau rannu gwybodaeth â sefydliadau eraill, er enghraifft, os ydym dan ddyletswydd i ddatgelu neu rannu data personol gwrthrych data i gydymffurfio ag unrhyw ofynion cyfreithiol neu reoleiddiol i amddiffyn hawliau, eiddo neu ddiogelwch staff, Comisiynwyr, Aelodau Pwyllgor, rhanddeiliaid, cyflenwyr neu eraill (gan gynnwys y rhai rydym yn gweithio â nhw, yn cynghori neu'n cefnogi).

Lle bo angen neu’n ofynnol, efallai y byddwn hefyd yn rhannu data â:

  • theulu, cydweithwyr a chynrychiolwyr y gwrthrych data
  • cynghorwyr proffesiynol ac ymgynghorwyr
  • darparwyr / cyflenwyr gwasanaethau
  • heddluoedd ac asiantaethau gorfodi’r gyfraith eraill
  • cyrff arholi
  • llywodraethau ganolog a datganoledig
  • sefydliadau ariannol
  • unigolion sy'n gwneud ymholiad neu’n gwneud cwyn
  • sefydliadau sy'n destun cwyn neu asesiad
  • awdurdodau erlyn
  • awdurdodau lleol
  • llysoedd, ac
  • ombwdsmon neu reoleiddwyr eraill.

Cyfyngiadau datgelu gwybodaeth benodol

Mae peth deddfwriaeth yn cyfyngu ar ddatgelu gwybodaeth, er enghraifft, Deddf Cydnabod Rhywedd 2004 a Deddf Cydraddoldeb 2006.

Deddf Cydnabod Rhywedd 2004

Mae'r Ddeddf Cydnabod Rhywedd yn ei wneud yn drosedd i berson sydd wedi cael gafael ar wybodaeth warchodedig mewn swyddogaeth swyddogol i ddatgelu'r wybodaeth honno i unrhyw berson arall. Mae'r ddeddfwriaeth yn caniatáu datgelu mewn rhai amgylchiadau cyfyngedig.

Deddf Cydraddoldeb 2006

Mae'r Ddeddf Cydraddoldeb yn cyfyngu ar wybodaeth y gellir ei rhannu'n allanol pan ein bod wedi'i chael trwy ymgymryd â'n swyddogaethau, yn enwedig pan fo gwybodaeth wedi cael ei chasglu yn ystod ymchwiliad o dan adran 16, ymchwiliad o dan adran 20, asesiad o dan adran 31, hysbysiad o dan adran 32 neu gytundeb o dan adran 23. Mae'r ddeddfwriaeth yn caniatáu datgelu mewn rhai amgylchiadau cyfyngedig.

Rhestr termau

Defnyddir y diffiniadau canlynol yn y polisi hwn a byddant yn golygu'r canlynol:

Asesiadau effaith diogelu data: offeryn a ddefnyddir i nodi a lleihau risgiau preifatrwydd endidau trwy ddadansoddi'r data personol a brosesir a'r polisïau sydd ar waith i ddiogelu'r data.

Caniatâd: dangos dymuniadau gwirfoddol, penodol, gwybodus a diamwys trwy ddatganiad neu gamau cadarnhaol clir sy'n arwydd o gytundeb.

Data di-enw: data personol heb enw cysylltiedig fel nad oes modd adnabod unigolyn o'r data.

Data personol: unrhyw wybodaeth sy'n gysylltiedig â pherson naturiol (a elwir fel arfer yn wrthrychau data) y gellir eu defnyddio i adnabod y person yn uniongyrchol neu'n anuniongyrchol.

Data: gwybodaeth sy'n cael ei storio'n electronig, ar gyfrifiadur neu mewn rhai systemau ffeilio ar bapur.

Defnyddio ffugenw: prosesu data personol fel na ellir eu priodoli mwyach i wrthrych data unigol heb ddefnyddio data ychwanegol, cyn belled â bod y data ychwanegol yn aros ar wahân i sicrhau na chaiff eu priodoli.

Diogelu data trwy ddylunio: egwyddor sy'n galw am ddiogelu data gael ei ystyried ar ddechrau a thrwy gydol unrhyw brosiect newydd gan gynnwys systemau, gwasanaethau, cynhyrchion neu brosesau.

Diogelu data yn ddiofyn: egwyddor sy'n galw ar y person diofyn i gyfyngu neu gyfyngu prosesu, er enghraifft, gosod hawliau mynediad i'r lleiafswm angenrheidiol.

Gwrthrych data: unigolyn byw y mae eu data personol yn cael eu prosesu gan reolwr neu brosesydd.

Prosesu: unrhyw weithred neu set o weithrediadau a berfformir ar ddata personol, p'un ai mewn ffordd awtomatig ai peidio, gan gynnwys, er enghraifft, casglu, defnyddio, cofnodi, storio, newid, datgelu a dileu data personol.

Prosesydd data: yr endid cyfreithiol (neu sefydliad) sy'n prosesu data ar ran y rheolwr data.

Rheolwr data: yr endid cyfreithiol (sefydliad) sy'n pennu dibenion, amodau a dulliau prosesu data personol.

Swyddog diogelu data: arbenigwr ar ddiogelu data sy'n gweithio'n annibynnol i gynghori sefydliad ar eu cydymffurfiad â chyfreithiau diogelu data.

Torri data personol: toriad diogelwch damweiniol neu anghyfreithlon sy'n arwain at ddinistrio, colli, newid neu ddatgelu data personol neu fynediad i'r data heb awdurdod.

Newidiadau i’r polisi

Rydym yn cadw'r hawl i newid y polisi hwn unrhyw bryd. Lle bo'n briodol byddwn yn hysbysu gwrthrych y data.

Cysylltiadau

Mae'r cyhoeddiad hwn ac adnoddau cydraddoldeb a hawliau dynol cysylltiedig ar gael o'n gwefan.

Gellir cyfeirio cwestiynau a sylwadau ynglŷn â'r cyhoeddiad hwn at: correspondence@equalityhumanrights.com. Rydym yn croesawu’ch adborth.

I gael gwybodaeth am gael un o'n cyhoeddiadau mewn fformat arall, cysylltwch â: correspondence@equalityhumanrights.com.

Dewch o hyd i'n newyddion, digwyddiadau a chyhoeddiadau diweddaraf trwy gofrestru i dderbyn ein e-gylchlythyr.

Gwasanaeth Cynghori a Chymorth Cydraddoldeb (EASS)

Am gyngor, gwybodaeth neu arweiniad ar faterion cydraddoldeb, gwahaniaethu neu hawliau dynol, cysylltwch â'r Gwasanaeth Cynghori a Chymorth Cydraddoldeb, gwasanaeth rhad ac am ddim ac annibynnol.

Ffôn   0808 800 0082

Oriau agor    09:00 i 19:00 (Llun i Gwener)

                     10:00 i 14:00 (Sadwrn)

Post              FREEPOST EASS HELPLINE FPN6521

© 2024 Comisiwn Cydraddoldeb a Hawliau Dynol

Cyhoeddwyd Ionawr 2024

Diweddariadau tudalennau