Polisi Diogelu Data
Polisi Diogelu Data
Cyflwyniad a Chwmpas
Mae Cyngor Sir Penfro a'n hysgol ni wedi ymrwymo i gynnal ei fusnes yn unol â’r holl ddeddfau a rheoliadau Diogelu Data perthnasol ac yn unol â’r safonau ymddygiad moesegol uchaf. I ddangos ein hymrwymiad, mae Cyngor Sir Penfro wedi llofnodi Addewid Gwybodaeth Bersonol Swyddfa’r Comisiynydd Gwybodaeth.
Mae’r polisi hwn yn nodi’r ymddygiad a ddisgwylir gan Gyflogeion, Cynghorwyr, Gwirfoddolwyr, Partneriaid a Chontractwyr Cyngor Sir Penfro, llywodraethwyr, a Darparwyr Gwasanaeth a gomisiynir ganddo, o ran casglu, defnyddio, cadw, rhannu, datgelu a dinistrio unrhyw Ddata Personol sy’n perthyn i Gyswllt Cyngor Sir Penfro (h.y. Gwrthrych Data).
Diffinnir Data Personol fel unrhyw wybodaeth sy’n ymwneud ag unigolyn byw adnabyddedig neu adnabyddadwy (Gwrthrych Data). Unigolyn byw adnabyddadwy yw un y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol, yn enwedig trwy gyfeirio at ddyfais adnabod fel enw, rhif adnabod, data lleoliad, dyfais adnabod ar-lein neu un neu fwy o ffactorau sy’n benodol i hunaniaeth gorfforol, ffisiolegol, genetig, meddyliol, economaidd, diwylliannol neu gymdeithasol yr unigolyn hwnnw. Mae Data Personol yn ddarostyngedig i fesurau diogelu cyfreithiol penodol a rheoliadau eraill, sy’n cyfyngu ar sut y caiff sefydliadau brosesu Data Personol. Mae sefydliad sy’n ymdrin â Data Personol ac yn gwneud penderfyniadau ynglŷn â sut y caiff ei ddefnyddio yn cael ei alw’n Rheolwr Data. Mae Cyngor Sir Penfro, fel Rheolwr Data, yn gyfrifol am sicrhau y cydymffurfir â’r gofynion Diogelu Data a amlinellir yn y polisi hwn. Gallai diffyg cydymffurfio olygu bod Cyngor Sir Penfro’n agored i gwynion, camau rheoleiddiol, dirwyon a/neu niwed i’w enw da.
Fel Awdurdod Cyhoeddus ac Addysg, mae gan Gyngor Sir Penfro nifer o rolau, gan gynnwys y canlynol (ond nid yn gyfyngedig iddynt): Cyflogwr, Darparwr Gwasanaeth, arfer dyletswyddau Statudol, Partner, a Chomisiynydd. Er mwyn ymgymryd â’i fusnes, mae’r Cyngor yn rheoli symiau mawr o Ddata Personol. Mae’r Polisi hwn yn amlinellu’r fframwaith cyfreithiol a ddefnyddir gan Cyngor Sir Penfro a'i Ysgolion.
Cefndir Deddfwriaethol
Mabwysiadwyd y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) ar 14 Ebrill 2016 a daeth i rym ar 25 Mai 2018. Mae’r GDPR yn rheoliad yng nghyfraith yr Undeb Ewropeaidd (UE) ar ddiogelu data a phreifatrwydd i bob unigolyn yn yr Undeb Ewropeaidd a’r Ardal Economaidd Ewropeaidd. Mae’r GDPR yn darparu rhanddirymiadau cenedlaethol i Aelod-wladwriaethau wneud esemptiadau at ddibenion penodol. Yng ngoleuni’r gofyniad i bennu rhanddirymiadau cenedlaethol, ynghyd â’r bwriad i Brydain adael yr Undeb Ewropeaidd, daeth Deddf Diogelu Data 2018 i rym ar 25 Mai 2018. Mae Deddf Diogelu Data 2018 yn ymgorffori’r GDPR yng nghyfraith Prydain ac yn ei ymestyn i ymdrin â meysydd cyfreithiol nad ydynt yn cael eu goruchwylio gan yr UE.
O ganlyniad i refferendwm ynghylch aelodaeth o’r Undeb Ewropeaidd yn y Deyrnas Unedig yn 2016, ymadawodd y DU â’r UE ar 31 Rhagfyr 2020. Yn dilyn Brexit, nid oedd y DU yn cael ei rheoleiddio ar lefel ddomestig mwyach gan y GDPR, sy'n llywodraethu'r gwaith o brosesu data personol gan unigolion o fewn yr UE. Yn lle, mae gan y DU bellach ei fersiwn ei hun a elwir yn GDPR y DU (Rheoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data). Daeth y rheoliad newydd hwn (GDPR y DU) a fersiwn ddiwygiedig o Ddeddf Diogelu Data 2018 i rym ar 31 Ionawr 2021 {sylwer bod GDPR yr UE yn dal i fod yn gymwys os oes sefydliad yn gweithredu yn yr Ardal Economaidd Ewropeaidd (AEE), yn cynnig nwyddau neu wasanaethau i unigolion yn yr AEE, neu'n monitro ymddygiad unigolion yn yr AEE}.
Ym mis Mehefin 2021, cyhoeddodd Comisiwn yr UE fod penderfyniadau digonolrwydd ar gyfer y DU wedi'u cymeradwyo. Golygai hyn fod yr UE wedi penderfynu bod deddfau diogelu data y DU yn ddigon cadarn i sicrhau bod data yn gallu llifo'n ddiogel o'r UE i'r DU (mae Llywodraeth y DU hefyd wedi cymeradwyo trosglwyddo data o'r DU i'r UE).
Cymhwysiad
Mae’r polisi hwn yn berthnasol i bob gwasanaeth, proses a swyddogaeth a gynhelir gan neu ar ran Cyngor Sir Penfro a'n hysgol ni lle y prosesir data personol.
Bydd hyn yn cynnwys data personol sy’n ffurfio rhan o system ffeilio, a ddiffinnir fel unrhyw set strwythuredig o ddata personol y gellir ei chyrchu yn ôl meini prawf penodol, p’un a yw’n cael ei dal trwy gyfrwng awtomataidd neu ar bapur a ph’un a yw’n ganolog, yn ddatganolog neu wedi’i gwasgaru ar sail swyddogaethol neu ddaearyddol. Mae data distrwythur ar bapur (nad yw wedi’i awtomeiddio) wedi’i eithrio o’r rhan fwyaf o’r ddeddf. Mae’n rhaid i bob math o ddata awtomataidd (gan gynnwys negeseuon e-bost, sgyrsiau skype, ac ati) gydymffurfio â’r polisi hwn.