AREA 43

POLISI GWARCHOD DATA

Yn unol â Gofynion Deddf Diogelu Data 1998 a GDPR

 

Cyflwyniad

Mae angen i Area 43 gadw gwybodaeth benodol am weithwyr, gwirfoddolwyr, cleientiaid a defnyddwyr eraill i’w galluogi i fonitro er enghraifft perfformiad, cyflawniadau, ac iechyd a diogelwch. Mae angen hefyd prosesu gwybodaeth er mwyn i aelodau o staff cael eu recriwtio a’u talu, trefnu cyrsiau a rhwymedigaethau i gyrff cyllido, y cydymffurfiodd y Comisiwn Elusennau a Llywodraeth Cymru. Er mwyn cydymffurfio â’r gyfraith, rhaid defnyddio gwybodaeth yn deg, ei storio’n ddiogel ac nid yw’n ei ddatgelu i unrhyw berson arall yn anghyfreithlon. I wneud hyn, mae’n rhaid i Area 43 gydymffurfio â’r 6 Egwyddor Diogelu Data a nodir yn Neddf Diogelu Data 1998 (Deddf 1998) a Rheoliadau Gwarchod Data Cyffredinol 2018.

 

Mae Erthygl 5 o’r GDPR yn mynnu bod data personol yn cynnwys:

“a) wedi’i brosesu yn gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas ag unigolion;

  1. b) yn cael ei gasglu at ddibenion penodol, eglur a chyfreithlon ac nad ydyw’n cael ei brosesu ymhellach mewn modd sy’n anghydnaws â’r dibenion hynny; prosesu pellach at ddibenion archifo er budd y cyhoedd, dibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn anghydnaws â’r dibenion cychwynnol;
  2. c) yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol mewn perthynas â’r dibenion y maent yn cael eu prosesu ar eu cyfer;
  3. ch) yn gywir ac, lle bo’n angenrheidiol, yn cael ei diweddaru; rhaid cymryd pob cam rhesymol i sicrhau bod data personol sy’n anghywir, gan roi sylw i’r dibenion y maent yn cael eu prosesu ar eu cyfer, yn cael eu dileu neu eu cywiro heb oediad;
  4. d) ei gadw ar ffurf sy’n caniatáu adnabod pynciau data am ddim mwy nag sy’n angenrheidiol at y dibenion y prosesir y data personol ar eu cyfer; gellir storio data personol am gyfnodau hirach i’r graddau y bydd y data personol yn cael ei brosesu yn unig at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn amodol ar weithredu’r mesurau technegol a sefydliadol priodol sy’n ofynnol gan y GDPR er mwyn diogelu hawliau a rhyddid unigolion; a
  5. dd) wedi’i brosesu mewn modd sy’n sicrhau diogelwch priodol y data personol, gan gynnwys amddiffyn rhag prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn coll, dinistrio neu ddifrod damweiniol, gan ddefnyddio mesurau technegol neu drefniadol priodol. “

Mae Erthygl 5 (2) yn gofyn:

“bydd y rheolwr yn gyfrifol am, a bod yn gallu dangos, cydymffurfiaeth â’r egwyddorion.”

Rhaid i Area 43 a’r holl staff neu eraill sy’n prosesu neu ddefnyddio unrhyw wybodaeth bersonol sicrhau eu bod yn dilyn yr egwyddorion hyn ar bob adeg. Er mwyn sicrhau bod hyn yn digwydd, mae Area 43 wedi datblygu’r Polisi Diogelu Data yma.

Statws y Polisi

Nid yw’r polisi yma yn rhan o’r cytundeb cyflogaeth ffurfiol, ond mae’n amod o gyflogaeth y bydd gweithwyr (a gwirfoddolwyr) yn cydymffurfio â’r rheolau a’r polisïau a wneir gan Area 43 o dro i dro. Gall unrhyw fethiant i ddilyn y polisi felly ei arwain at achos disgyblu.

 

POLISI DIOGELU DATA AREA 43

Dylai unrhyw aelod o staff, gwirfoddolwr, ymddiriedolwr neu gleient sy’n ystyried nad yw’r polisi wedi ei ddilyn mewn perthynas â data personol amdanynt eu hunain, godi’r mater gyda’r Swyddog Diogelu Data ar y dechrau. Os nad oes modd datrys y mater dylid ei godi fel achwyniad ffurfiol.

Hysbysiad o’r Data a Gynhelir a Phrosesu

Mae hawl gan yr holl staff, gwirfoddolwyr, ymddiriedolwyr, cleientiaid a defnyddwyr eraill

  • Wybod pa wybodaeth sydd gan Area 43 a phrosesau amdanynt a pham.
  • Wybod sut i gael mynediad ato.
  • Wybod sut i’w cadw’n gyfoes.
  • Wybod beth mae Area 43 yn ei wneud i gydymffurfio â’i rwymedigaethau o dan GDPR.
Cyfrifoldebau Staff
  • Gwirio bod unrhyw wybodaeth a roddir i Area 43 mewn cysylltiad â’u cyflogaeth yn gywir ac yn gyfoes.
  • Dweud wrth Area 43 am unrhyw newidiadau i wybodaeth, sydd efallai wedi ei ddarparu ganddynt. E.e. newid cyfeiriad.
  • Gwirio’r wybodaeth y bydd Area 43 yn ei anfon o dro i dro, gan roi manylion am y wybodaeth a gedwir a phrosesir am aelodau o staff.
  • dweud wrth Area 43 am unrhyw gamgymeriadau neu newidiadau. Ni ellir dal Area 43 yn gyfrifol am unrhyw wallau oni bai bod yr aelod o staff wedi hysbysu Area 43 amdanynt.

Os a phryd, fel rhan o’u cyfrifoldebau, mae staff yn casglu gwybodaeth am bobl eraill, (e.e. am amgylchiadau personol a manylion cleientiaid), rhaid iddynt gydymffurfio â’r canllawiau ar gyfer staff.

Diogelwch Data

Mae’r holl staff yn gyfrifol am sicrhau bod:

  • Unrhyw ddata personol y maent yn ei gadw yn cael ei gadw’n ddiogel.
  • Ni ddatgelir gwybodaeth bersonol naill ai ar lafar neu’n ysgrifenedig neu yn ddamweiniol neu fel arall i unrhyw drydydd parti anawdurdodedig.

Dylai staff nodi y bydd datgeliad anawdurdodedig fel arfer yn fater disgyblu, ac efallai y bydd yn cael ei ystyried yn camymddwyn difrifol mewn rhai achosion.

Dylai gwybodaeth bersonol fod yn cael ei:

  • gadw mewn cabinet ffeilio dan glo; neu
  • os caiff ei gadw’n electronig, ei hamgryptio a’i ddiogelu rhag cyfrinair
Gwybodaeth sydd yn cael ei storio tu allan i’r UE – E-bost

Mae Area 43 yn defnyddio GSuite (Google) fel y gwesteiwr e-bost ac mae’n ufudd i GDPR. Efallai caiff gweinyddwyr Google eu lleoli y tu allan i’r UE. Defnyddia Google Fframwaith Amddiffyn Preifatrwydd UE- UD, golyga hyn bod ganddynt ddiogelwch digonol ar gyfer trosglwyddo data rhwng yr UE a’r UD er mwyn cydymffurfio ag anghenion diogelu data.

Agored Cymru

Gall pobl sy’n dilyn Achrediad neu Gymhwyster Uned Agored Cymru, gael mynediad i

Ddatganiad Preifatrwydd Dysgwyr Agored Cymru

Hawliau i Fynediad Gwybodaeth

Mae gan staff, gwirfoddolwyr, ymddiriedolwyr, cleientiaid a defnyddwyr eraill gwasanaethau Area 43 yr hawl i gael mynediad at unrhyw ddata personol sy’n cael ei chadw amdanynt naill ai ar gyfrifiadur neu mewn ffeiliau penodol. Gall unrhyw un sy’n dymuno arfer yr hawl hon wneud eu cais naill ai ar lafar neu’n ysgrifenedig i’r Swyddog Diogelu Data.

Er mwyn cael mynediad, efallai y bydd unigolyn yn dymuno derbyn hysbysiad o’r wybodaeth sydd ar gael ar hyn o bryd. Dylid gwneud y cais yma ar lafar neu’n ysgrifenedig.

Ni fydd Area 43 yn codi tâl am gais am fynediad, er hynny gall Area 43 godi ffi resymol os yw unigolyn yn gofyn am gopïau pellach o’u data yn dilyn cais.

Nod Area 43 yw cydymffurfio â cheisiadau am fynediad at wybodaeth bersonol cyn gynted ag y bo modd, a bydd yn sicrhau bod ymateb yn cael ei ddarparu o fewn 1 mis.

 

Cyhoeddi Gwybodaeth Area 43

Mae gwybodaeth sydd eisoes ym mharth y cyhoedd yn eithriedig o Ddeddf 1998. Polisi Area 43 yw gwneud cymaint o wybodaeth yn gyhoeddus â phosibl, ac yn enwedig y wybodaeth ganlynol ar gael i’r cyhoedd i’w harchwilio:

  • Enwau Ymddiriedolwyr Area 43 ac uwch staff â chyfrifoldebau ariannol sylweddol (i’w harchwilio yn ystod oriau swyddfa yn unig)
    • Rhestr o staff allweddol
    • Ffotograffau o staff allweddol

Dylai unrhyw unigolyn sydd â rheswm da dros ddymuno manylion yn y rhestrau neu’r categorïau hyn barhau’n gyfrinachol gysylltu â’r Swyddog Diogelu Data.

Caniatâd Pwnc

Gall Area 43 ond prosesu data gyda chaniatâd penodol yr unigolyn a gellir tynnu’r caniatâd hwn yn ôl ar unrhyw adeg trwy hysbysu’r Swyddog Diogelu Data. Mae cytundeb i Area 43 yn prosesu rhai dosbarthiadau penodol o ddata personol yn amod i dderbyn lleoliadau gwirfoddol, sefydlu ymddiriedolwyr a chyflwr cyflogaeth i staff. Mae hyn yn cynnwys gwybodaeth am euogfarnau troseddol blaenorol.

Bydd rhai swyddi neu gyrsiau yn dod â’r ymgeiswyr i gysylltiad â phlant, yn cynnwys pobl ifanc rhwng 10 ac 18 oed. Mae gan Areal 43 ddyletswydd o dan y Ddeddf Plant a deddfau eraill i sicrhau bod staff yn addas ar gyfer y swydd, a chleientiaid ar gyfer y cyrsiau a gynigir. Mae hefyd gan Area 43 ddyletswydd gofal i’r holl staff a chleientiaid ac felly mae’n rhaid sicrhau nad yw gweithwyr a’r rhai sy’n defnyddio cyfleusterau Area 43 yn peri bygythiad neu berygl i ddefnyddwyr eraill.

Bydd Area 43 hefyd yn gofyn am wybodaeth am anghenion iechyd penodol, fel alergeddau i ffurfiau penodol o feddyginiaeth, neu unrhyw amodau fel asthma neu ddiabetes. Bydd Area 43 ond yn defnyddio’r wybodaeth wrth ddiogelu iechyd a diogelwch yr unigolyn, ond bydd angen caniatâd i’w brosesu os digwydda argyfwng meddygol, er enghraifft.

Prosesu Gwybodaeth Sensitif

Weithiau mae angen prosesu gwybodaeth am iechyd, collfarnau troseddol, hil a rhyw a manylion teuluol person. Gan gydnabod bod y wybodaeth hon yn cael ei ystyried yn sensitif a gall prosesu yma achosi pryder neu ofid arbennig bydd unigolion, staff a chleientiaid yn rhoi caniatâd penodol i Area 43 i wneud hyn. Efallai caiff cynigion o gyflogaeth, hyfforddiant neu leoliadau gwirfoddol eu tynnu’n ôl os yw unigolyn yn gwrthod rhoi caniatâd i hyn, heb reswm da. Mae rhagor o wybodaeth am hyn ar gael odi wrth y Swyddog Diogelu Data.

Y Rheolwr Data a’r Swyddog(ion) Diogelu Data

Area 43 yw’r Rheolydd Data o dan y Ddeddf ac mae wedi ei gofrestru gyda Swyddfa’r Comisiynydd gwybodaeth o dan rif cofrestru Z5483358, ac felly mae’r bwrdd ymddiriedolwyr yn gyfrifol am ei weithredu. Er hynny, mae yna Swyddog Diogelu Data dynodedig yn ymdrin â materion beunyddiol. Y pwynt cyswllt cyntaf ar gyfer ymholwyr yw Sally Jones sydd efallai naill ai’n delio â’r ymholiad ei hun neu ei gyfeirio at swyddog diogelu data dynodedig arall.

Os yr ydych yn credu fod eich data wedi cael ei gamddefnyddio neu nad yw Area 43 wedi ei gadw’n ddiogel, dylech gysylltu â Sally Jones. Os ydych chi’n anhapus â’r ymateb neu os oes angen unrhyw gyngor arnoch, dylech gysylltu â Swyddfa’r Comisiynydd Gwybodaeth (ICO).

Cadw Data

Bydd Area 43 yn cadw rhai mathau o wybodaeth am gyfnod hirach nag eraill. Ni chaiff unrhyw wybodaeth ei chadw yn hirach na’r angen. Gellir dod o hyd i fanylion ym Mholisi Cadwraeth Dogfennau Area 43.

Gwaredu Data

Pan nad oes angen data personol bellach, neu os yw wedi pasio ei ddyddiad cadw, bydd cofnodion papur yn cael eu gwaredu’n ddiogel.

Rhaid dileu cofnodion electronig yn barhaol, gyda gofal arbennig yn cael ei gymryd na ellir adennill data sy’n ‘gudd’.

 

Casgliad

Cyfrifoldeb holl aelodau o Area 43 yw cydymffurfio â Deddf 1998 a GDPR. Gall unrhyw dorri’r polisi diogelu data yn fwriadol arwain at gymryd camau disgyblu, neu fynediad at gyfleusterau Area 43, neu hyd yn oed erlyniad troseddol. Dylid ystyried unrhyw gwestiynau neu bryderon am ddehongli neu weithredu’r polisi yma gan y Rheolwr Data dynodedig.