Ceredigion County Council website

Ceredigion county council logo
Ceredigion county council logo

Polisi Diogelu Data a GDPR y DU

Swyddog Arweiniol Corfforaethol, Cyswllt Cwsmeriaid, TGCh a Digidol

Cyhoeddwyd: 08/10/2025 Version 6.0

 

Cynnwys

 

 

 

1 Diffinio’r Polisi

 

1.1 Pwrpas y Polisi

Mae Cyngor Sir Ceredigion (“y Cyngor”) yn casglu ac yn defnyddio ystod eang o wybodaeth am unigolion er mwyn cyflawni ei ddyletswyddau a chyflenwi ei wasanaethau. Mae’r bobl hyn yn cynnwys ein cwsmeriaid, ein cleientiaid, ein gweithwyr, trigolion y Sir, ymgeiswyr am swyddi ac unrhyw un sy’n ymgymryd â gwaith ar ran yr Awdurdod. Mae llawer o’r wybodaeth a gadwn amdanynt yn ddata personol iddyn nhw.

Bydd cydymffurfio gyda’r polisi hwn yn cynorthwyo’r Cyngor i gyfarfod â gofynion Rheoliad Cyffredinol y DU ar Ddiogelu Data (‘GDPR y DU’) a Deddf Diogelu Data 2018 sy’n gysylltiedig.

Mae’r polisi hwn yn amlinellu sut mae’r Cyngor yn ceisio diogelu data personol a sicrhau bod staff ac Aelodau etholedig yn deall y rheolau sy’n rheoli eu defnydd o’r data personol y mae ganddynt fynediad ato yn ystod eu gwaith. Rhaid i holl staff ac aelodau etholedig ymgyfarwyddo gyda’r polisi hwn a chydymffurfio gyda thelerau’r polisi.

Mae cysylltiad rhwng y polisi hwn hefyd a’r gofynion deddfwriaethol canlynol y mae’n rhaid i’r Cyngor eu parchu:

  • Deddf Llywodraeth Leol 1972
  • Deddf Llywodraeth Leol (Hawl i Weld Gwybodaeth) 1985
  • Deddf Rhyddid Gwybodaeth 2000
  • Rheoliadau Gwybodaeth Amgylcheddol 2004
  • Rheoliadau Ail-ddefnyddio Gwybodaeth y Sector Gyhoeddus 2005

Mae’r polisi hwn yn ategu ac yn cyd-fynd gyda’r polisïau cysylltiedig canlynol o eiddo’r Cyngor:

  • Polisi Rheoli Gwybodaeth a Cofnodion
  • Polisi Diogelwch Gwybodaeth
  • Polisi Rhyddid Gwybodaeth

Mae’r polisi hwn yn ategu ac yn cyd-fynd gyda hysbysiad preifatrwydd y Cyngor, sy’n amlinellu sut mae gwasanaethau o fewn y Cyngor yn casglu ac yn defnyddio data personol. Mae’r hysbysiad preifatrwydd yn rhestru hawliau unigolion i gael mynediad at - a chywiro - y data a gedwir amdanynt, ac mewn rhai achosion yr hawl i wrthwynebu prosesu’r data hwnnw. Mae’r hysbysiad preifatrwydd corfforaethol, y dylid ei ddarllen law yn llaw gyda’r polisi hwn, i’w gael yn:

Hysbysiad Preifatrwydd - Cyngor Sir Ceredigion

O fethu â gweithredu’r polisi hwn yn effeithiol, crëir risgiau i’r Cyngor o ran methu â chydymffurfio â deddfwriaeth, cosbau ariannol sylweddol gan Swyddfa’r Comisiynydd Gwybodaeth (ICO), gofid a niwed i unigolion yr ydym yn cadw eu data, niwed i enw da’r Cyngor ac amharu ar allu’r Cyngor i gyflawni gwasanaethau effeithiol a dibynadwy.

1.2 Hyd a Lled y Polisi

Mae’r polisi hwn yn gymwys i’r holl staff a’r Aelodau etholedig sydd â mynediad at gofnodion a gwybodaeth y Cyngor, ym mha bynnag ffurf, yn ystod eu gwaith. Ar gyfer y dibenion hyn, mae ‘staff’ yn cynnwys gweithwyr llawn amser a rhan amser, gwirfoddolwyr, unigolion ar brofiad gwaith ac asiantiaid allanol sy’n gweithio dros neu ar ran y Cyngor.

Mae’r polisi hwn yn gymwys i’r holl wybodaeth a gedwir, a ddelir ac a ddefnyddir gan y Cyngor ym mhob lleoliad ac ym mhob cyfrwng.

Mae’r cyfrifoldebau o fewn y polisi hwn yn ymestyn at staff y tu hwnt i’w cyfnod cyflogaeth neu at Aelodau Etholedig y tu hwnt i’w cyfnod yn y swydd. Mae’r paragraff hwn yn cyfeirio’n benodol at eu cyfrifoldeb parhaol i ddiogelu data personol unrhyw drydydd parti (yn enwedig unrhyw wybodaeth bersonol sensitif) yr oedd ganddynt fynediad breintiedig ato yn rhinwedd eu cyfnod cyflogaeth neu eu cyfnod yn y swydd.

1.3 Diffinio’r Polisi

Dyma gyfres o ddiffiniadau cyffredinol sy’n berthnasol i’r polisi hwn. Pan fo termau eraill yn codi, rhoddir diffiniadau yn y testun ac fe’u dynodir mewn print trwm.

1.3.1 Data Personol

Dyma wybodaeth sy’n ymwneud ag unigolyn byw y gellir ei adnabod ar sail y wybodaeth ei hun neu drwy ei chysylltu gyda gwybodaeth arall – er enghraifft, enw a chyfeiriad person, proffil ar lein, cofnod Adnoddau Dynol aelod o staff neu gofnodion yn ymwneud gydag unigolion, er enghraifft disgyblion ysgol neu ddefnyddwyr gwasanaeth.

1.3.2 Categorïau Arbennig ar Gyfer Data Personol

Mae data categori arbennig yn golygu data personol sy’n cynnwys gwybodaeth ynglŷn â:

  • Data Genetig a Biometrig
  • Safbwyntiau gwleidyddol
  • Credoau crefyddol neu gredoau eraill
  • Aelodaeth o undeb llafur
  • Iechyd/Cyflwr corfforol neu feddyliol
  • Bywyd rhywiol
  • Cyfeiriadedd rhywiol
  • Tarddiad o ran hil neu ethnigrwydd

Ac er nad yw’n cael ei ddisgrifio’n benodol fel data categori arbennig, mae angen yr un driniaeth ar y wybodaeth hon:

  • Gwybodaeth am gyflawni trosedd neu’r honiad o fod wedi cyflawni trosedd
  • Unrhyw achos yn dilyn trosedd a gyflawnwyd neu yr honnir iddi gael ei chyflawni, penderfyniad i derfynu achosion o’r fath neu ddyfarniad yn dilyn achosion o’r fath

1.3.3 Y Rheolydd Data

Y Rheolydd Data yw’r person neu’r sefydliad sy’n pennu’r diben a’r modd y mae/y bydd unrhyw ddata personol yn cael ei brosesu.

1.3.4 Prosesu Data

Mae prosesu data yn golygu cael, cofnodi neu gadw data. Mae hefyd yn cynnwys unrhyw weithredu ar ddata, gan gynnwys:

  • Trefnu, addasu neu newid y data
  • Adalw, ymgynghori â’r data, neu ddefnyddio’r data
  • Datgelu data drwy ei drosglwyddo, ei ddosbarthu neu ei ddarparu mewn rhyw ffordd arall
  • Cysoni, cyfuno, blocio, dileu neu ddinistrio gwybodaeth neu ddata

1.3.5 Proseswyr Data

Person/sefydliad sy’n prosesu data ar ran ac o dan gyfarwyddyd Rheolydd Data yw Prosesydd Data.

1.3.6 Testun y Data

Y person y cedwir gwybodaeth bersonol amdano/amdani gan y rheolydd yw testun y data.

 

 

2 Egwyddorion y Polisi

 

Bydd y Cyngor yn rhoi mesurau technegol a threfniadol ar waith i ddangos iddo ystyried a chynnwys diogelu data yn ei holl weithgareddau prosesu, yn unol â’r hyn sy’n gymwys o ran egwyddorion, deddfau a hawliau diogelu data unigolion, fel y’u nodir isod yn yr adran hon. Ymagwedd y Cyngor tuag at ddiogelu data, fel y mae’n ofynnol o dan GDPR y DU, fydd ‘diogelu data o'r cychwyn ac fel anghenraid’ a ‘phreifatrwydd o'r cychwyn’.

2.1 Cydymffurfio Gydag Egwyddorion Diogelu Data GDPR y DU

Bydd y Cyngor yn cymryd camau i sicrhau bod yr holl brosesu data personol y mae’n ymgymryd ag ef yn cytuno gyda’r chwe egwyddor diogelu data. Yr egwyddorion diogelu data hynny yw:

  1. Rhaid prosesu data personol yn gyfreithlon, yn deg ac mewn modd tryloyw
  2. Dim ond at ddibenion penodol, pendant a chyfiawn y gellir casglu data personol
  3. Rhaid i ddata personol fod yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol ar gyfer ei brosesu
  4. Rhaid i ddata personol fod yn gywir ac yn gyfredol
  5. Rhaid cadw data personol ar ffurf sydd ddim yn galluogi neb i adnabod testun y data a dim ond ei gadw mor hir ag sydd ei angen ar gyfer prosesu’r data
  6. Rhaid prosesu data personol yn y fath fodd fel y sicrheir ei fod yn ddiogel

Yn ogystal, mae egwyddor gyffredinol atebolrwydd sy’n golygu nid yn unig fod yn rhaid i’r Cyngor gydymffurfio gyda chwe egwyddor GDPR y DU ond rhaid iddi fod yn amlwg fod y Cyngor yn cydymffurfio gyda’r egwyddorion hyn yn ei wedd gyhoeddus, gan allu dangos cydymffurfiaeth pe bai’n cael ei arolygu gan gyrff rheoleiddiol megis Swyddfa’r Comisiynydd Gwybodaeth (ICO).

2.2 Egwyddor Gyntaf GDPR y DU: Prosesu Teg a Chyfreithlon

Dim ond pan fo gan y Cyngor sail gyfreithlon dros ymgymryd â’r gweithgaredd y gellir prosesu data personol. Mae yna chwe sail gyfreithlon y gellir eu cymhwyso ar gyfer prosesu data personol a 10 sail gyfreithlon ar gyfer prosesu Data Categori Arbennig. Os prosesir Data Categori Arbennig, rhaid nodi sail gyfreithlon ar gyfer prosesu cyffredinol, yn ogystal ag amod ychwanegol ar gyfer prosesu’r math hwn o ddata.

Caiff y sail gyfreithlon dros brosesu gwybodaeth bersonol ar gyfer y rhan fwyaf o waith y Cyngor ei dilyn er lles y cyhoedd neu wrth i’r rheolydd ymarfer yr awdurdod swyddogol a roddwyd iddo.

Bydd sail gyfreithlon y Cyngor dros brosesu’r rhan fwyaf o wybodaeth bersonol ‘categori arbennig’ yn angenrheidiol am resymau lles sylweddol y cyhoedd, ar sail cyfraith y DU a fydd yn gymesur gyda’r diben a geisir, yn parchu hanfod yr hawl i ddiogelu data a darparu mesurau addas a phenodol i ddiogelu hawliau sylfaenol a buddiannau testun y data.

2.3 Ail Egwyddor GDPR y DU: Dibenion Penodol a Chyfreithlon

Wrth gasglu data personol neu wrth ddechrau ar weithgareddau diogelu data newydd, dylai staff sicrhau fod y sawl sy’n destun y data yn derbyn hysbysiadau preifatrwydd addas yn rhoi gwybod iddynt sut bydd y data’n cael ei ddefnyddio. Mae yna eithriadau cyfyngedig i’r gofyniad hwn, a nodir y rhain yn GDPR y DU. Datganiad yw ‘hysbysiad preifatrwydd’ sy’n esbonio rhai neu’r holl ffyrdd y mae sefydliad yn casglu, yn defnyddio, yn datgelu ac yn rheoli’r data personol y mae’n ei gasglu oddi wrth ei gwsmeriaid neu ei gleientiaid. Mae’n cyflawni rhan o ofyniad cyfreithiol y sefydliad i barchu preifatrwydd cwsmeriaid neu gleientiaid wrth gasglu a rhannu data personol. Rhaid i’r Cyngor roi sylw arbennig i’r dull o brosesu data unigolion bregus, gan gynnwys plant, a chymryd mesurau priodol i sicrhau bod hysbysiadau preifatrwydd yn cael eu rhoi i’r testunau data hyn mewn ffyrdd y gallan nhw eu deall.

2.4 Trydedd Egwyddor GDPR y DU: yn Ddigonol, yn Berthnasol ac yn Gyfyngedig

Dylai staff wneud yn siŵr fod y data a brosesir ganddynt yn ddigonol, yn berthnasol ac yn gymesur â’r diben y cafodd ei dderbyn. Fel rheol, ni ddylai data personol a dderbyniwyd ar gyfer un diben gael ei ddefnyddio at ddibenion eraill sydd heb gysylltiad â’r pwrpas hwnnw, oni bai fod yr unigolyn wedi cytuno i hyn neu y byddai’n rhesymol iddo/iddi ddisgwyl i’r data gael ei ddefnyddio yn y ffordd hon. Ni fydd y Cyngor yn ailddefnyddio data a dderbyniwyd ar gyfer un diben heb roi sylw dyledus i egwyddor cydweddoldeb y diben. Lle bo angen, cynhelir prawf cydweddoldeb y diben gyda chymorth Tîm Diogelu Data’r Cyngor.

2.5 Pedwaredd Egwyddor GDPR y DU: Cywirdeb

Rhaid i ddata personol fod yn gywir a’i fod yn cael ei gadw’n gyfredol lle bo angen. Gall unigolion ofyn i’r Cyngor gywiro data personol sy’n ymwneud â nhw os ystyriant ei fod yn anghywir. Os derbynia aelod o staff gais o’r fath ac nad yw’n cytuno fod y data personol a gedwir yn anghywir, eto i gyd dylai gofnodi’r ffaith fod yna anghytundeb ynghylch cywirdeb y data a rhoi gwybod i’r Swyddog Diogelu Data.

2.6 Pumed Egwyddor GDPR y DU: Cadw Data Cyhyd ag Sydd Angen yn Unig

Ni ddylid cadw data personol yn hwy nag sy’n angenrheidiol. Dylai staff ddilyn y rhaglen gorfforaethol ar gadw cofnodion, fel canllaw. Gall yr amser y dylid cadw data fod yn wahanol i’r rhaglen hon, yn dibynnu ar amgylchiadau neilltuol, gan gynnwys unrhyw resymau arbennig pam y cafwyd y data yn y lle cyntaf.

2.7 Chweched Egwyddor GDPR y DU: Diogelwch

Yn unol â’r Polisi Diogelwch Gwybodaeth, mae’n rhaid i staff gadw data personol yn ddiogel rhag iddo fynd ar goll neu gael ei gamddefnyddio. Rhoddir mesurau priodol ar waith, yn rhai technegol a threfniadaethol, i sicrhau bod y data yn cael ei brosesu ar lefel ddiogelwch sy’n gymesur â’i sensitifrwydd. Lle bo’r Cyngor yn defnyddio sefydliadau allanol i brosesu data personol ar ei ran, rhaid gweithredu trefniadau diogelwch ychwanegol mewn cytundebau gyda’r sefydliadau hynny, er mwyn amddiffyn diogelwch y data personol. Dylai Staff ymgynghori gyda’r Swyddog Diogelu Data cyn llunio unrhyw gytundeb newydd o ran prosesu data neu cyn newid unrhyw gytundeb sydd eisoes yn bodoli, er mwyn trafod y camau angenrheidiol i sicrhau bod y rhain yn cydymffurfio gyda’r gofynion.

2.8 Cydymffurfio Gyda Hawliau Unigolion o Dan GDPR y DU

Bydd y Cyngor yn gweithredu cyfres o reolau a gweithdrefnau, gan greu gweithlif i werthuso ceisiadau yn ymwneud â’r hawliau canlynol sydd gan unigolion o dan GDPR y DU:

  1. Yr hawl i gael gwybod
  2. Yr hawl i fynediad
  3. Yr hawl i gywiro
  4. Yr hawl i gyfyngu ar brosesu
  5. Yr hawl i wrthwynebu
  6. Hawliau o ran penderfyniadau a phroffilio awtomataidd
  7. Yr hawl i gludo data
  8. Yr hawl i ddileu neu’r hawl i ‘fynd yn angof’

2.9 Yr Hawl i Gael Gwybod

Bydd y Cyngor yn esbonio pan fydd yn casglu’r data ym mha ffordd y mae’n bwriadu defnyddio’r data y mae’n ei gasglu, a fydd yn rhannu’r data gyda rhywun arall, beth yw’r sail gyfreithiol dros brosesu a pha hawliau sy’n gymwys i’r unigolyn. Y prif ddull o gyfathrebu’r wybodaeth hon fydd yr hysbysiad preifatrwydd corfforaethol, wedi ei ategu gan ddatganiadau preifatrwydd byr a gyflwynir wrth i’r data gael ei gasglu ac a fydd yn cyfeirio at yr hysbysiad llawn, ymysg pethau eraill. Bydd fersiynau eraill o’r hysbysiad preifatrwydd yn ei ategu, sy’n addas ar gyfer esbonio preifatrwydd a diogelu data i blant ac eraill y mae’n rhesymol iddynt gael y wybodaeth mewn ffurfiau eraill, mwy hygyrch.

2.10 Yr Hawl i Fynediad

Mae hawl (yn amodol ar rai eithriadau a nodwyd yn y Ddeddf Diogelu Data) gan unigolion i ofyn am fynediad at wybodaeth a gedwir amdanynt. Dylid cadw cofnod ar lefel gorfforaethol o’r holl Geisiadau am Fynediad at Ddata gan y Testun a dylid eu cyfeirio yn syth at y swyddog(ion) perthnasol fel y gallant hwy weithredu ar y cais. Rhaid i’r Cyngor ymateb i gais dilys o fewn terfynau amser sydd wedi eu pennu gan y gyfraith, sef un mis. Gellir ymestyn hyn yn gyfreithiol i hyd at dri mis mewn achosion cymhleth.

2.11 Yr Hawl i Gywiro

Mae hawl gan unigolion i gael data personol wedi ei gywiro os yw’n anghywir neu’n anghyflawn. Rhaid i’r Cyngor ymateb o fewn mis i unrhyw gais rhesymol am gywiriad, er y gellir cael estyniad o ddau fis lle bo’r cais am gywiriad yn gymhleth. Os yw’r Cyngor wedi rhannu’r data personol dan sylw gydag asiantaethau eraill, rhaid rhoi gwybod i bob un o’r asiantaethau hynny, a gofyn iddynt wneud yr un cywiriad – oni bai fod hyn yn amhosibl neu yn golygu ymdrech anghymesur. Os gofynnir iddynt, rhaid i staff roi gwybod hefyd i’r sawl sy’n destun y data am yr asiantaethau hynny sydd â data a all fod yn anghywir. Os gwrthodir y cais am gywiriad (er enghraifft lle mae dilysrwydd testun y data yn cael ei herio), rhaid i staff esbonio’r rheswm pam i’r unigolyn gan roi gwybod iddo am ei hawl i apelio at y Swyddog Diogelu Data, at Swyddfa'r Comisiynydd Gwybodaeth, ac o bosib ceisio datrysiad barnwrol. Dylai staff sydd wedi derbyn cais o dan ‘yr hawl i gywiro’ gysylltu â’r tîm Rheoli Gwybodaeth a Chofnodion.

2.12 Yr Hawl i Gyfyngu ar Brosesu

Mae gan unigolion yr hawl i atal eu data personol rhag cael ei brosesu mewn rhai amgylchiadau. Gellir parhau i storio’r data ond mae’n rhaid rhoi’r gorau i’w brosesu. Dim ond dan yr amgylchiadau canlynol y mae’n rhaid i’r Cyngor gyfyngu ar brosesu data personol: lle mae unigolyn yn herio cywirdeb y data personol; mewn achosion yn dilyn gwrthwynebiad i brosesu, bydd y Cyngor yn ystyried a yw ei sail gyfreithlon yn drech na sail gyfreithlon yr unigolyn (mae hyn yn briodol yn unig pan nodir mai’r sail gyfreithiol dros brosesu yw er mwyn cyflawni tasg gyhoeddus neu weithredu buddiannau cyfreithlon - gweler 2.13 isod); pan fo prosesu yn anghyfreithlon a’r unigolyn yn gwrthwynebu dileu data ac yn gofyn am gyfyngu yn lle hynny; os nad oes angen y data personol ar y Cyngor mwyach ond bod angen y data ar yr unigolyn er mwyn sefydlu, arfer neu amddiffyn hawliad cyfreithiol.

2.13 Yr Hawl i Wrthwynebu Prosesu

Pan nodir mai’r sail gyfreithiol dros brosesu data yw er mwyn cyflawni tasg gyhoeddus neu weithredu buddiannau cyfreithlon, mae gan unigolion yr hawl i wrthwynebu prosesu, gan gynnwys unrhyw broffilio wedi ei seilio ar y gofynion hynny. Ni fydd y Cyngor yn prosesu’r data personol mwyach oni bai y gall ddangos seiliau cyfreithlon cryf dros y prosesu sy’n drech na buddiannau, hawliau a rhyddid testun y data. Os mai cydsyniad yw’r sail gyfreithiol dros brosesu, mae gan unigolion hawl ddiamod i wrthod caniatáu i’r Cyngor brosesu eu data ar gyfer y diben hwn, a rhaid i staff ymateb yn ddigwestiwn ac yn ddiymdroi i’r gorchymyn hwn. Mae’r sail gyfreithiol hon dros brosesu a’r hawl hon yn ymwneud yn benodol ag unrhyw farchnata uniongyrchol a ymgymerir gan y Cyngor, er enghraifft marchnata ar gyfer ei wasanaethau diwylliannol, hamdden ac unrhyw wasanaeth dewisol/opsiynol arall.

2.14 Hawliau o Ran Penderfyniadau a Phroffilio Awtomataidd

Mae hawl gan unigolion i gael gwybod pan fo eu data yn atebol i benderfyniadau a phroffilio awtomataidd.

2.15 Yr Hawl i Gludo Data

Mae hawl gan unigolion i orchymyn i’w data gael ei drosglwyddo i asiantaethau arall (er enghraifft wrth symud o un ardal i’r llall). Mae hyn yn caniatáu iddynt symud, gopïo neu drosglwyddo data personol yn hawdd o un amgylchedd TG i’r llall mewn ffordd ddiogel a sicr, heb rwystro’r gallu i’w ddefnyddio. Mae’r hawl gyfyngedig hon ond yn berthnasol lle nodir mai’r sail gyfreithiol dros brosesu yw i weithredu cytundeb neu ei bod yn seiliedig ar gydsyniad, felly nid yw’n berthnasol ar raddfa sylweddol i awdurdodau lleol.

2.16 Yr Hawl i Ddileu Neu‘r ‘Hawl i Fynd yn Angof’

Mae gan unigolion yr hawl, mewn achos pan ddibynnir ar gydsyniad, i orchymyn i’w data personol gael ei ddileu’n llwyr o’r gweithgaredd prosesu penodol, hynny yw yr hyn y cyfeirir ato fel ‘yr hawl i fynd yn angof’. Mae’r hawl gyfyngedig hon yn berthnasol gan mwyaf i weithgaredd marchnata uniongyrchol gan y Cyngor.

 

 

3 Gweithredu’r Polisi

 

Bydd y Cyngor yn cymryd y camau gweithredu angenrheidiol i sicrhau ei fod yn cydymffurfio gyda’r holl ofynion cyfreithiol eraill a osodir arno gan GDPR y DU a’r Ddeddf Diogelu Data. Yn benodol, golyga hyn apwyntio Swyddog Diogelu Data, cadw Cofrestr o Weithgareddau Prosesu; cadw cofnodion cydsynio; ymgymryd ag Asesiadau Effaith Diogelu Data; ymchwilio’n brydlon i unrhyw fynediad di-awdurdod at ddata; sicrhau nad yw data personol yn cael ei drosglwyddo i wledydd lle’r ystyrir nad oes digon o reoleiddio o ran diogelu data, oni bai bod camau diogelu ychwanegol a chyfreithiol yn cael eu cymryd.

Nid yw’r ffaith fod yna strwythur llywodraethiant gwybodaeth o fewn y Cyngor mewn unrhyw ffordd yn dirymu neu’n lleihau atebolrwydd yr unigolyn a chyfrifoldeb pob aelod o staff ac aelodau etholedig dros ddiogelu’r data personol y mae ganddynt fynediad ato.

3.1 Cofrestr o Weithgareddau Prosesu

Bydd y Cyngor yn cadw Cofrestr o Weithgareddau Prosesu a fydd yn cofnodi pob gweithgaredd prosesu data yr ymgymerir ag ef gan y Cyngor, gan ddiffinio ymhlith pethau eraill beth yw’r sail gyfreithiol dros bob gweithgaredd, categorïau’r data a geir o fewn pob system a nodi’r achosion lle mae’r Cyngor yn rhannu’r data a gyda phwy.

3.2 Cadw Cofnodion Cydsynio

Os mai cydsyniad yw’r sail gyfreithiol dros brosesu, mae’n rhaid i’r Cyngor esbonio pam y cesglir y data, sut y caiff ei brosesu ac a yw i gael ei rannu gyda rhywun arall, cyn cael cydsyniad testun y data. Mae cydsyniad o’r fath fel rheol yn cael ei gasglu drwy roi tic yn y blwch, sef blwch na ellir ei dicio o flaen llaw, neu gam gweithredu cadarnhaol o fath arall. Rhaid gwneud cofnod a chadw’r cofnod hwnnw o gydsyniad testun y data.

Os mai cydsyniad yw’r sail gyfreithiol dros brosesu ac os yw categorïau’r data sydd i’w casglu yn cynnwys data personol sensitif, bydd yn angenrheidiol cael cydsyniad penodol yr unigolyn i brosesu data personol sensitif, ac eithrio mewn amgylchiadau eithriadol. Fel rheol cesglir cydsyniad penodol o’r math hwn drwy ofyn am lofnod o dan hysbysiad preifatrwydd clir. Rhaid gwneud cofnod a chadw cofnod o gydsyniad penodol testun y data.

3.3 Asesiadau Effaith Diogelu Data

Offeryn yw ‘Asesiad Effaith Diogelu Data’ er mwyn nodi ac asesu risgiau preifatrwydd drwy gydol datblygiad rhaglen neu system sy’n cynnwys data personol. Rhaid i’r Cyngor wneud Asesiadau Effaith Diogelu Data, er enghraifft wrth adeiladu systemau newydd i storio neu gael mynediad at ddata personol; datblygu polisïau neu strategaethau ag iddynt oblygiadau preifatrwydd; dechrau ar fenter rhannu data; neu ddefnyddio data at ddibenion newydd. Mae asesiad yn ofynnol pan fo prosesu newydd neu newidiadau yn y prosesu yn ymwneud â llawer o ddata personol, lle bo partneriaethau rhanbarthol newydd neu allanoli masnachol yn golygu trosglwyddo data personol i drydydd partïon, neu mewn achos o fynediad di-awdurdod at ddata sy’n datgelu risgiau sydd ynghlwm wrth y dulliau prosesu sy’n bodoli ar y pryd.

Wrth benderfynu a oes angen Asesiad Effaith Diogelu Data, rhaid ymgynghori gyda’r Swyddog Diogelu Data. Mae templed Asesiad Effaith Diogelu Data i’w cael ar fewnrwyd Cerinet

3.4 Mynediad Di-awdurdod at Ddata

Mewn achos o dor diogelwch data, bydd y Swyddog Diogelu Data yn gwneud asesiad i benderfynu a ddylid hysbysu testun y data a/neu Swyddfa’r Comisiynydd Gwybodaeth am y mynediad di-awdurdod at ddata. Os oes angen, caiff Swyddfa’r Comisiynydd Gwybodaeth wybod am y digwyddiad o fewn 72 awr, fel y pennir gan GDPR y DU.

3.5 Trosglwyddo’n Rhyng-genedlaethol

O dan GDPR y DU mae yna gyfyngiadau ar drosglwyddo data personol yn rhyng-genedlaethol i wledydd sydd â threfn diogelu data sydd ddim yn cynnig mesurau diogelwch digonol i warchod y data hwnnw ym marn Swyddfa’r Comisiynydd Gwybodaeth. Os bydd trosglwyddiadau o’r fath (sef ‘trosglwyddiadau dan gyfyngiadau’) yn angenrheidiol, bydd Cytundeb Rhyngwladol Trosglwyddo Data (IDTA) ac, os oes angen, Atodiad y DU, yn cael eu cynnwys yn y ddogfennaeth sy’n rheoli’r trosglwyddiad. Mae rhestr ‘r gwledydd a’r tiriogaethau a gwmpesir gan benderfyniad digonolrwydd y DU i’w gweld yma:

A guide to international transfers | ICO

3.6 Rhannu Gwybodaeth

Nid rhwystr rhag rhannu gwybodaeth yw’r Ddeddf Diogelu Data ond yn hytrach fframwaith i sicrhau bod gwybodaeth bersonol am bobl sy’n fyw yn cael ei rhannu’n briodol. Mewn sefyllfaoedd brys neu achos o fyw neu farw, ni ddylai staff betruso rhag rhannu gwybodaeth bersonol a hynny i rwystro camddefnydd neu niwed difrifol. Os oes pryderon ynghylch materion diogelu plant neu ddiogelu oedolion, dylid dilyn y gweithdrefnau priodol.

Datblygwyd Cytundeb Cymru ynghylch Rhannu Gwybodaeth Bersonol (WASPI) fel dull ymarferol o ddelio gyda rhannu aml-asiantaethol ar gyfer y sector gyhoeddus yng Nghymru ac fe ymrwymodd y Cyngor i’r cytundeb hwn ym mis Mehefin 2011.

Mae rhannu gwybodaeth yn allweddol ar gyfer cyflawni gwasanaethau mewn ffordd gydgysylltiedig. Dylid gwneud penderfyniad ynghylch rhannu gwybodaeth ai peidio ar sail yr achos unigol a dylid cefnogi’r penderfyniad drwy, o leiaf, gytundeb rhannu data sy’n rhwymo mewn cyfraith ac, os oes modd, drwy gynhyrchu naill ai Protocol Rhannu Gwybodaeth (ISP) neu Gytundeb Datgelu Data (DDA).

Rhaid i bob Protocol Rhannu Gwybodaeth (ISP) neu Gytundeb Datgelu Data (DDA) gynnwys diben diffiniedig clir dros rannu gwybodaeth a rhaid i’r ddogfen gael ei gweld a’i chofrestru gan y Gwasanaeth Rheoli Gwybodaeth a Chofnodion cyn cael ei llofnodi’n derfynol ar lefel Swyddog Arweiniol Corfforaethol.

3.7 Amddiffyn Plant a Phobl Fregus

Pan roddir gwybodaeth i’r Cyngor ynghylch diogelu, bydd yn rhaid tafoli’r perygl o niwed yn erbyn hawl yr unigolyn i breifatrwydd.

Os yw gwybodaeth a dderbynnir gan y Cyngor ynghylch unrhyw unigolyn/unigolion allai ddod i gysylltiad mewn unrhyw ffordd gyda phlant a/neu bobl fregus yn codi pryderon ynghylch addasrwydd yr unigolyn/unigolion i fod mewn cysylltiad gyda phlant a/neu bobl fregus neu’n codi pryderon ynghylch lles plant a/neu bobl fregus yn y dyfodol, bydd y Cyngor yn ei hystyried yn ddyletswydd arno i rannu’r wybodaeth. Gall y wybodaeth gael ei rhannu gydag unrhyw asiantaeth briodol os, wedi pwyso a mesur y sefyllfa, mai’r gred yw y dylid rhannu’r wybodaeth.

3.8 Swyddog Diogelu Data

Rhaid i’r Cyngor gael Swyddog Diogelu Data. Bydd y Swyddog Diogelu Data yn rhoi arweiniad strategol a gweithredol i’r Cyngor ar bob mater ynghylch cydymffurfiaeth y Cyngor â’r polisi hwn a’r Ddeddfwriaeth Diogelu Data. Bydd y Swyddog Diogelu Data yn adrodd i’r Uwch-Berchennog Risg Gwybodaeth (SIRO) ac i’r Swyddog Monitro. Y SIRO sy’n gyfrifol am gydymffurfiaeth y rheolydd gyda’r polisi hwn a’r Ddeddfwriaeth Diogelu Data.

3.9 Uwch-berchennog Risg Gwybodaeth

Uwch-berchennog Risg Gwybodaeth (SIRO) y Cyngor yw’r Swyddog sy’n gyfrifol am gydymffurfiaeth yr Awdurdod â’r polisi hwn. Bydd y SIRO yn derbyn cyngor ac arweiniad oddi wrth y Swyddog Diogelu Data ond ef/hi sydd â’r cyfrifoldeb terfynol dros benderfyniadau a wneir yn yr awdurdod parthed prosesu data personol.

3.10 Swyddogion Arweiniol Corfforaethol

Mae’r Swyddogion Arweiniol Corfforaethol yn gyfrifol ac yn atebol am gynnal gweithdrefnau a safonau priodol o ran diogelu data o fewn uned eu gwasanaeth. Caiff gofynion y polisi hwn eu cydnabod a’u cynnwys yng nghynlluniau busnes pob uned wasanaeth, ynghyd â materion perthnasol ynghylch rheoli gwybodaeth, cadw cofnodion a chydymffurfio gyda cheisiadau Rhyddid Gwybodaeth.

Bydd Swyddogion Arweiniol Corfforaethol yn sicrhau bod yr holl staff o fewn uned eu gwasanaeth:

  • Yn ymwybodol o’u cyfrifoldebau o safbwynt diogelu data, er enghraifft drwy fonitro bod eu staff yn cydymffurfio gyda’r hyfforddiant gorfodol ar ddiogelu data
  • Ddim yn gwneud trefniadau cytundebol sydd ddim yn cydymffurfio gyda gofynion GDPR y DU ac sydd ddim yn cynnwys cymalau priodol ynghylch diogelu data a phreifatrwydd
  • Yn gwybod ymhle i edrych ac at bwy i fynd am gyngor ac arweiniad ynghylch diogelu data
  • Yn sicrhau bod staff wedi eu hyfforddi’n briodol i’r lefel gywir ac wedi llofnodi’r dogfennau priodol mewn achosion penodol lle mae data personol hynod sensitif yn cael ei brosesu, er mwyn diogelu a rheoli mewn dull cyfrifol y data personol y maent wedi cael mynediad ato yn rhinwedd eu gwaith

3.11 Staff y Cyngor

Mae’r holl staff yn gyfrifol ac yn atebol am ddilyn y gweithdrefnau corfforaethol ac adrannol sefydlog ynghylch diogelu data ac am wneud yr holl hyfforddiant gorfodol sy’n cynnwys modiwlau ar Ddiogelu Data a diogelu gwybodaeth. Mae rhagor o ganllawiau i’r staff ar y ffordd gywir o reoli a diogelu data i’w cael ar fewnrwyd Cerinet.

Gall camddefnyddio data personol a datgelu data personol heb awdurdod arwain at erlyniad personol, ac os methir â chydymffurfio â’r polisi hwn efallai y bydd yn rhaid ymdrin â hynny yn unol â pholisi disgyblu’r Cyngor.

Mae rheolwyr yn gyfrifol am sicrhau bod gwirfoddolwyr, prentisiaid, hyfforddeion a’r sawl sydd ar brofiad gwaith yn derbyn hyfforddiant sylfaenol priodol, lle bo angen, fel rhan o’u sesiynau sefydlu ar ddiogelu data ac ar barchu hawliau preifatrwydd unigolion.

3.12 Cynghorwyr

Mae’r holl aelodau etholedig yn gyfrifol ac yn atebol am ddilyn gweithdrefnau sefydlog ac am sicrhau bod eu hyfforddiant a’u dealltwriaeth ynghylch diogelu data yn gyfredol. Bydd canllaw corfforaethol i aelodau etholedig ar y ffordd gywir o reoli a diogelu data personol yn cael ei rannu yn ystod hyfforddiant. Rhaid i Gynghorwyr gofio, wrth gynrychioli eu hetholwyr ac wrth ymgyrchu, eu bod nhw’n rheolwyr data yn rhinwedd eu swydd a dylent ymgyfarwyddo â’r cyfrifoldebau hyn. Rhoddir hyfforddiant penodol, sy’n esbonio hyn, i Gynghorwyr.

 

 

4 Safonau Ymgynghorol Allanol Sy’n Effeithio ar y Polisi Hwn

Caiff y polisi hwn ei lywio gan ganllaw yr ICO ar sut i weithredu GDPR y DU. Gellir dod o hyd i’r canllaw fan hyn:

Canllaw ac adnoddau ar GDPR y DU | ICO

Caiff y polisi hwn ei adolygu ac os bydd angen, ei ddiwygio, yn dilyn unrhyw adolygiad o’r canllaw gan yr ICO neu yn dilyn unrhyw achos cyfreithiol sylweddol lle caiff GDPR y DU neu’r Ddeddf Diogelu Data eu dehongli, yn enwedig i’r graddau bod y dehongliad hwnnw yn effeithio ar gyfrifoldeb awdurdodau cyhoeddus.

 

 

5 Monitro ac Adolygu’r Polisi

Caiff effeithiolrwydd y gwaith o weithredu’r polisi ei asesu ar gyfnodau drwy archwilio mewnol a/neu gan y Swyddog Diogelu Data, a allai wneud ymchwiliad mewnol yn ddi-rybudd a heb gydsyniad.

Bydd archwiliadau o’r fath o wasanaethau yn medru, ynghyd â mesurau eraill:

  • Nodi meysydd gweithredu - o fewn y maes gwasanaeth - sy’n cael eu cwmpasu neu beidio gan y polisi, a nodi unrhyw brosesu priodol neu weithdrefnau sydd ddim yn llwyddo i lynu wrth y polisi
  • Mynnu bod Asesiad Effaith Diogelu Data yn cael ei wneud yn syth, mewn achosion lle mae’r dulliau cyfredol o brosesu data yn peri risg gorfforaethol (er enghraifft, lle mae llawer o ddata personol sensitif yn cael ei brosesu a hynny heb gymryd mesurau diogelwch digonol), neu lle mae tor diogelwch data eisoes wedi digwydd
  • Gosod y gofynion ar gyfer gweithdrefnau ymarferol newydd o ran diogelu data, prosesu data a delio gyda cheisiadau am wybodaeth
  • Nodi’r mannau hynny lle na chydymffurfir gyda’r gweithdrefnau ymarferol ac awgrymu addasiadau priodol ar ffurf cynllun gweithredu gwelliant

Bydd yr Uwch-Berchennog Gwybodaeth Risg (SIRO) a’r Swyddog Diogelu Data (DPO) yn adolygu’r polisi yn ffurfiol yn flynyddol ac yn ei ddiwygio os bydd angen. Caiff y polisi diwygiedig ei ddosbarthu i bob aelod o staff.

Caiff y polisi ei gyflwyno i’r Cyngor bob pum mlynedd neu pan wneir newidiadau arwyddocaol.