Polisi Diogelu Data
Polisi Diogelu Data
Cyflwyniad a Chwmpas
Mae Cyngor Sir Penfro a'n hysgol ni wedi ymrwymo i gynnal ei fusnes yn unol â’r holl ddeddfau a rheoliadau Diogelu Data perthnasol ac yn unol â’r safonau ymddygiad moesegol uchaf. I ddangos ein hymrwymiad, mae Cyngor Sir Penfro wedi llofnodi Addewid Gwybodaeth Bersonol Swyddfa’r Comisiynydd Gwybodaeth.
Mae’r polisi hwn yn nodi’r ymddygiad a ddisgwylir gan Gyflogeion, Cynghorwyr, Gwirfoddolwyr, Partneriaid a Chontractwyr Cyngor Sir Penfro, llywodraethwyr, a Darparwyr Gwasanaeth a gomisiynir ganddo, o ran casglu, defnyddio, cadw, rhannu, datgelu a dinistrio unrhyw Ddata Personol sy’n perthyn i Gyswllt Cyngor Sir Penfro (h.y. Gwrthrych Data).
Diffinnir Data Personol fel unrhyw wybodaeth sy’n ymwneud ag unigolyn byw adnabyddedig neu adnabyddadwy (Gwrthrych Data). Unigolyn byw adnabyddadwy yw un y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol, yn enwedig trwy gyfeirio at ddyfais adnabod fel enw, rhif adnabod, data lleoliad, dyfais adnabod ar-lein neu un neu fwy o ffactorau sy’n benodol i hunaniaeth gorfforol, ffisiolegol, genetig, meddyliol, economaidd, diwylliannol neu gymdeithasol yr unigolyn hwnnw. Mae Data Personol yn ddarostyngedig i fesurau diogelu cyfreithiol penodol a rheoliadau eraill, sy’n cyfyngu ar sut y caiff sefydliadau brosesu Data Personol. Mae sefydliad sy’n ymdrin â Data Personol ac yn gwneud penderfyniadau ynglŷn â sut y caiff ei ddefnyddio yn cael ei alw’n Rheolwr Data. Mae Cyngor Sir Penfro, fel Rheolwr Data, yn gyfrifol am sicrhau y cydymffurfir â’r gofynion Diogelu Data a amlinellir yn y polisi hwn. Gallai diffyg cydymffurfio olygu bod Cyngor Sir Penfro’n agored i gwynion, camau rheoleiddiol, dirwyon a/neu niwed i’w enw da.
Fel Awdurdod Cyhoeddus ac Addysg, mae gan Gyngor Sir Penfro nifer o rolau, gan gynnwys y canlynol (ond nid yn gyfyngedig iddynt): Cyflogwr, Darparwr Gwasanaeth, arfer dyletswyddau Statudol, Partner, a Chomisiynydd. Er mwyn ymgymryd â’i fusnes, mae’r Cyngor yn rheoli symiau mawr o Ddata Personol. Mae’r Polisi hwn yn amlinellu’r fframwaith cyfreithiol a ddefnyddir gan Cyngor Sir Penfro a'i Ysgolion.
Cefndir Deddfwriaethol
Mabwysiadwyd y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) ar 14 Ebrill 2016 a daeth i rym ar 25 Mai 2018. Mae’r GDPR yn rheoliad yng nghyfraith yr Undeb Ewropeaidd (UE) ar ddiogelu data a phreifatrwydd i bob unigolyn yn yr Undeb Ewropeaidd a’r Ardal Economaidd Ewropeaidd. Mae’r GDPR yn darparu rhanddirymiadau cenedlaethol i Aelod-wladwriaethau wneud esemptiadau at ddibenion penodol. Yng ngoleuni’r gofyniad i bennu rhanddirymiadau cenedlaethol, ynghyd â’r bwriad i Brydain adael yr Undeb Ewropeaidd, daeth Deddf Diogelu Data 2018 i rym ar 25 Mai 2018. Mae Deddf Diogelu Data 2018 yn ymgorffori’r GDPR yng nghyfraith Prydain ac yn ei ymestyn i ymdrin â meysydd cyfreithiol nad ydynt yn cael eu goruchwylio gan yr UE.
O ganlyniad i refferendwm ynghylch aelodaeth o’r Undeb Ewropeaidd yn y Deyrnas Unedig yn 2016, ymadawodd y DU â’r UE ar 31 Rhagfyr 2020. Yn dilyn Brexit, nid oedd y DU yn cael ei rheoleiddio ar lefel ddomestig mwyach gan y GDPR, sy'n llywodraethu'r gwaith o brosesu data personol gan unigolion o fewn yr UE. Yn lle, mae gan y DU bellach ei fersiwn ei hun a elwir yn GDPR y DU (Rheoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data). Daeth y rheoliad newydd hwn (GDPR y DU) a fersiwn ddiwygiedig o Ddeddf Diogelu Data 2018 i rym ar 31 Ionawr 2021 {sylwer bod GDPR yr UE yn dal i fod yn gymwys os oes sefydliad yn gweithredu yn yr Ardal Economaidd Ewropeaidd (AEE), yn cynnig nwyddau neu wasanaethau i unigolion yn yr AEE, neu'n monitro ymddygiad unigolion yn yr AEE}.
Ym mis Mehefin 2021, cyhoeddodd Comisiwn yr UE fod penderfyniadau digonolrwydd ar gyfer y DU wedi'u cymeradwyo. Golygai hyn fod yr UE wedi penderfynu bod deddfau diogelu data y DU yn ddigon cadarn i sicrhau bod data yn gallu llifo'n ddiogel o'r UE i'r DU (mae Llywodraeth y DU hefyd wedi cymeradwyo trosglwyddo data o'r DU i'r UE).
Cymhwysiad
Mae’r polisi hwn yn berthnasol i bob gwasanaeth, proses a swyddogaeth a gynhelir gan neu ar ran Cyngor Sir Penfro a'n hysgol ni lle y prosesir data personol.
Bydd hyn yn cynnwys data personol sy’n ffurfio rhan o system ffeilio, a ddiffinnir fel unrhyw set strwythuredig o ddata personol y gellir ei chyrchu yn ôl meini prawf penodol, p’un a yw’n cael ei dal trwy gyfrwng awtomataidd neu ar bapur a ph’un a yw’n ganolog, yn ddatganolog neu wedi’i gwasgaru ar sail swyddogaethol neu ddaearyddol. Mae data distrwythur ar bapur (nad yw wedi’i awtomeiddio) wedi’i eithrio o’r rhan fwyaf o’r ddeddf. Mae’n rhaid i bob math o ddata awtomataidd (gan gynnwys negeseuon e-bost, sgyrsiau skype, ac ati) gydymffurfio â’r polisi hwn.
Llywodraethu
Y Tîm Llywodraethu Gwybodaeth
I ddangos ein hymrwymiad i Ddiogelu Data ac i wella effeithiolrwydd ein hymdrechion cydymffurfio, mae Cyngor Sir Penfro wedi sefydlu Tîm Llywodraethu Gwybodaeth o fewn y Gwasanaeth Archwilio, Risg a Gwybodaeth, sy’n gweithredu’n annibynnol ar wasanaethau a swyddogaethau cymorth eraill y Cyngor.
Rôl y Swyddog Diogelu Data yw ymgymryd â’r tasgau canlynol yn uniongyrchol neu drwy’r Tîm Llywodraethu Gwybodaeth:
- Hysbysu a chynghori Cyngor Sir Penfro a’i gyflogeion sy’n ymgymryd â Phrosesu yn unol â Rheoliadau Diogelu Data, Cyfraith Genedlaethol neu Ddarpariaethau Diogelu Data yr Undeb;
- Sicrhau bod y polisi hwn yn cyd-fynd â Rheoliadau Diogelu Data, Cyfraith Genedlaethol neu Ddarpariaethau Diogelu Data yr Undeb;
- Rhoi arweiniad ynglŷn â chynnal Asesiadau o’r Effaith ar Ddiogelu Data a monitro perfformiad;
- Gweithredu fel pwynt cyswllt ar gyfer Swyddfa’r Comisiynydd Gwybodaeth (ICO) a chydweithredu â hi;
- Penderfynu ar yr angen i hysbysu Swyddfa’r Comisiynydd Gwybodaeth (ICO) o ganlyniad i weithgareddau Prosesu Data Personol cyfredol neu fwriadedig Cyngor Sir Penfro;
- Rhoi sylw dyladwy i’r risg sy’n gysylltiedig â gweithrediadau prosesu, gan ystyried natur, cwmpas, cyd-destun a dibenion prosesu;
- Sefydlu a gweithredu system sy’n darparu ymatebion prydlon a phriodol i geisiadau gan Wrthrychau Data;
- Rhoi gwybod i Uwch Reolwyr, Aelodau a Swyddogion am unrhyw gosbau corfforaethol, sifil a throseddol posibl a allai gael eu rhoi i Gyngor Sir Penfro a/neu ei Gyflogeion neu Aelodau am dorri deddfau Diogelu Data perthnasol;
- Gwneud yn siŵr bod gweithdrefnau a darpariaethau cytundebol safonol ar waith i sicrhau cydymffurfiaeth â’r Polisi hwn gan unrhyw Drydydd Parti sy’n:
- Darparu Data Personol i Gyngor Sir Penfro
- Derbyn Data Personol gan Gyngor Sir Penfro
- Cael mynediad at Ddata Personol a gesglir neu a reolir gan Gyngor Sir Penfro.
Lledaenu a Gorfodi’r Polisi
Mae’n rhaid i Dîm Rheoli Corfforaethol Cyngor Sir Penfro a SLT ar ein cyfer rhaid sicrhau bod holl Weithwyr, Aelodau a Llywodraethwyr Cyngor Sir Penfro yn gyfrifol am Brosesu Data Personol yn ymwybodol o gynnwys y polisi hwn ac yn cydymffurfio â hwy.
Rhaid i'n hysgol ni i Uwch Reolwyr sicrhau bod pob Trydydd Parti a gyflogir, naill ai trwy gytundeb neu’n wirfoddol, i brosesu data personol ar ran ein hysgol (h.y. Prosesyddion Data) yn ymwybodol o gynnwys y polisi hwn ac yn cydymffurfio ag ef. Mae’n rhaid cael sicrwydd a thystiolaeth o gydymffurfiaeth o’r fath gan bob Trydydd Parti (gan gynnwys ymweliad safle), p’un a yw’n gwmni neu’n unigolyn, cyn caniatáu iddo gael mynediad at Ddata Personol a reolir gan ein hysgol.
Hyfforddiant Diogelu Data
Bydd rhaid i holl gyflogeion Cyngor Sir Penfro ddilyn Hyfforddiant Diogelu Data yn rhan o’u cyfnod sefydlu ac yn rhan o hyfforddiant a datblygiad parhaus yn y gweithle. Mae’n rhaid dilyn yr hyfforddiant e-Ddysgu bob blwyddyn (yn seiliedig ar ddisgwyliadau’r ICO). Cyfrifoldeb Rheolwyr yr ysgol yw hi yn gyfrifol am sicrhau bod eu staff wedi dilyn yr hyfforddiant, yn deall eu cyfrifoldebau ac yn cydymffurfio â’r Polisi Diogelu Data, y Polisi Diogelwch TG a’r arweiniad Gweithdrefnol ategol.
Bydd Perchenogion Asedau Gwybodaeth/Penaethiaid yn cael hyfforddiant ychwanegol ar eu cyfrifoldebau i sicrhau cydymffurfiaeth barhaus â gofynion Diogelu Data.
Diogelu Data trwy Ddyluniad
Er mwyn sicrhau bod yr holl ofynion Diogelu Data yn cael eu hamlygu ac yn derbyn sylw wrth i systemau neu brosesau newydd gael eu dylunio a/neu wrth i systemau neu brosesau presennol gael eu hadolygu neu eu hymestyn, dylid rhoi gwybod i’r Swyddog Diogelu Data am y broses a bydd angen iddo ei chymeradwyo cyn i’r newid gael ei weithredu. Mae’n rhaid ceisio cyfranogiad y Swyddog Diogelu Data o’r cychwyn cyntaf.
Yn rhan o’r broses hon, mae’n rhaid cynnal Asesiad o’r Effaith ar Ddiogelu Data (DPIA); bydd y Tîm Llywodraethu Gwybodaeth yn gallu helpu gyda hyn. Yna, mae’n rhaid cyflwyno canfyddiadau’r DPIA i’r Swyddog Diogelu Data i’w hadolygu a’u cymeradwyo. Bydd yr adran TG yn gweithio’n agos gyda’r Tîm Llywodraethu Gwybodaeth i asesu effaith unrhyw ddefnyddiau technoleg newydd ar ddiogelwch Data Personol.
Monitro Cydymffurfiaeth
I gadarnhau cydymffurfiaeth â’r polisi hwn a gofynion Deddf Diogelu Data 2018 a deddfwriaeth Diogelu Data arall, bydd y Tîm Llywodraethu Gwybodaeth yn cynnal archwiliadau cydymffurfio blynyddol yn seiliedig ar risg ar draws ein hysgol. Bydd y rhaglen flynyddol o archwiliadau cydymffurfio’n cael ei llywio gan y sgôr risg ar y Gofrestr Asedau Gwybodaeth ac yn cael ei chymeradwyo gan y Swyddog Diogelu Data. Bydd pob archwiliad cydymffurfiaeth yn asesu’r canlynol, o leiaf:
- Cydymffurfiaeth â’r Polisi o ran diogelu Data Personol, gan gynnwys:
- Neilltuo cyfrifoldebau
- Cynyddu ymwybyddiaeth
- Hyfforddi cyflogeion
- Effeithiolrwydd arferion gweithredol sy’n ymwneud â Diogelu Data, gan gynnwys:
- Diogelwch
- Hawliau Gwrthrych Data
- Trosglwyddo Data Personol
- Rheoli digwyddiadau Data Personol
- Ymdrin â chwynion Data Personol
- Lefel y ddealltwriaeth o bolisïau Diogelu Data a Hysbysiadau Preifatrwydd
- Cywirdeb Data Personol sy’n cael ei storio
- Trefniadau monitro gweithgareddau Prosesyddion Data
- Digonolrwydd gweithdrefnau ar gyfer cywiro cydymffurfiaeth wael a Mynediad Diawdurdod at Ddata Personol.
Bydd y Tîm Llywodraethu Gwybodaeth, mewn cydweithrediad â ein hysgol, yn llunio cynllun gweithredu ar gyfer cywiro unrhyw ddiffygion a amlygwyd o fewn graddfa amser ddiffiniedig a rhesymol. Bydd hyn yn cael ei fonitro trwy’r system awtomataidd MKI. Bydd diffygion mawr a amlygwyd a diffyg cydymffurfio â graddfeydd amser y cytunwyd arnynt yn cael eu hadrodd i’r Pennaeth a Chorff Llywodraethol.
Adrodd am Fynediad Diawdurdod
Mae mynediad diawdurdod at ddata yn achos o danseilio diogelwch sy’n arwain at ddinistrio, colli neu newid data personol, neu ei ddatgelu neu gael mynediad ato heb awdurdod, a hynny’n ddamweiniol neu’n anghyfreithlon. Mae digwyddiad data yn achos o danseilio diogelwch a allai fod wedi arwain at un o’r uchod, ond na arweiniodd ato mewn gwirionedd.
Mae’n rhaid rhoi gwybod i’r Swyddog Diogelu Data ar unwaith am bob achos o fynediad diawdurdod at ddata trwy’r Tîm Llywodraethu Gwybodaeth. Mae ffurflen ar-lein ar gael ar y mewnrwyd,i hwyluso’r broses hon; dylech ei llenwi gyda chymaint o wybodaeth â phosibl a’i hanfon trwy e-bost at dataprotection@pembrokeshire.gov.uk. Mae’r Swyddog Diogelu Data yn gyfrifol am asesu achosion o fynediad diawdurdod at ddata a gwneud penderfyniad ynglŷn â rhoi gwybod i Swyddfa’r Comisiynydd Gwybodaeth (ICO). O dan y GDPR y DU, mae’n rhaid i achosion adroddadwy o fynediad diawdurdod at ddata gael eu hadrodd i’r ICO o fewn 72 awr o’r adeg y daw’r Cyngor yn ymwybodol bod y mynediad diawdurdod wedi digwydd. Bydd y Swyddog Diogelu Data yn cynnal asesiad risg i benderfynu a yw’r mynediad diawdurdod yn adroddadwy. Bydd hyn yn cynnwys cynnal ymchwiliadau rhagarweiniol i amgylchiadau’r mynediad diawdurdod, felly mae’n hanfodol bod y Swyddog Diogelu Data yn cael gwybod ar unwaith trwy’r Tîm Llywodraethu Gwybodaeth. Gallai methiant i roi gwybod i’r ICO am achos adroddadwy o fynediad diawdurdod o fewn 72 awr o’r adeg y daw’r Cyngor yn ymwybodol ohono arwain at ddirwy sylweddol, yn ogystal â dirwy am y mynediad diawdurdod ei hun.
Rhowch wybod i’r Tîm Llywodraethu Gwybodaeth am unrhyw ddigwyddiadau data. Mae hyn yn ddefnyddiol iawn fel y gallwn fesur ein risg a dysgu oddi wrth ddigwyddiadau o’r fath a chryfhau ein trefniadau diogelwch ymhellach.
Cwynion
Mae’r Cyngor wedi ymrwymo i ddarparu’r safonau uchaf o uniondeb a diogelwch o ran y data personol y mae’n ei brosesu. Fodd bynnag, os ydych chi’n anfodlon â’r ffordd y proseswyd eich data personol neu y cymhwyswyd eich hawliau o dan ddeddfwriaeth Diogelu Data, cyfeiriwch eich pryderon at y:
Swyddog Diogelu Data
Cyngor Sir Penfro
Neuadd y Sir
Hwlffordd
Sir Benfro
SA61 1TP
E-bost: DataProtection@pembrokeshire.gov.uk
Mae Swyddfa’r Comisiynydd Gwybodaeth wedi datblygu llythyr enghreifftiol (yn agor mewn tab newydd) i’ch helpu i godi’ch pryderon.
Ceisiwn ymateb i’ch pryderon o fewn un mis calendr o’u derbyn.
Os byddwch yn parhau i fod yn anfodlon â’r ffordd rydym yn rheoli eich data personol neu’n cymhwyso eich hawliau o dan ddeddfwriaeth Diogelu Data, cewch gysylltu â Swyddfa’r Comisiynydd Gwybodaeth (yn agor mewn tab newydd), neu ysgrifennwch at:
Swyddfa’r Comisiynydd Gwybodaeth / The Information Comissioner’s Office
Wycliffe House
Water Lane
Wilmslow
Swydd Gaerlleon / Cheshire
SK9 5AF
Egwyddorion Diogelu Data
Yn unol â Deddf Diogelu Data 2018, ein hysgol wedi mabwysiadu’r egwyddorion canlynol i lywodraethu’r ffordd y mae’n casglu, defnyddio, cadw, trosglwyddo, datgelu a dinistrio Data Personol;
Egwyddor 1: Cyfreithlondeb, Tegwch a Thryloywder
Bydd Data Personol yn cael ei brosesu’n gyfreithlon, yn deg ac mewn ffordd dryloyw mewn perthynas â Gwrthrych y Data. Mae hyn yn golygu bod rhaid i ein hysgol ddweud wrth Wrthrych y Data ba Brosesu a fydd yn digwydd (tryloywder), bod rhaid i’r prosesu gyfateb i’r disgrifiad a roddwyd i Wrthrych y Data (tegwch), a bod rhaid iddo fod ar gyfer un o’r dibenion a nodir yn 4.2 (cyfreithlondeb prosesu).
Egwyddor 2: Cyfyngu ar Bwrpas
Bydd Data Personol yn cael ei gasglu at ddibenion penodol, eglur a chyfreithlon, ac ni fydd yn cael ei brosesu ymhellach mewn ffordd sy’n anghydnaws â’r dibenion hynny. Mae hyn yn golygu bod rhaid i ein hysgol nodi beth yn union y bydd y Data Personol a gesglir yn cael ei ddefnyddio ar ei gyfer a chyfyngu ar Brosesu’r Data Personol hwnnw i’r hyn sy’n angenrheidiol yn unig i gyflawni’r diben penodol.
Egwyddor 3: Lleihau Data
Bydd Data Personol yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol i’r dibenion y mae’n cael ei brosesu ar eu cyfer. Mae hyn yn golygu bod rhaid i ein hysgol beidio â chasglu na storio Data Personol y tu hwnt i’r hyn sy’n ofynnol yn unig.
Egwyddor 4: Cywirdeb
Bydd Data Personol yn gywir ac yn cael ei gadw’n gyfredol. Mae hyn yn golygu bod rhaid i ein hysgol sefydlu prosesau ar gyfer amlygu a mynd i’r afael â Data personol sy’n hen, yn anghywir ac yn ddiangen.
Egwyddor 5: Cyfyngu ar Storio
Bydd Data Personol yn cael ei gadw ar ffurf sy’n caniatáu ar gyfer adnabod Gwrthrychau Data am gyfnod nad yw’n hwy na’r hyn sy’n angenrheidiol i’r dibenion y mae’r Data Personol yn cael ei brosesu ar eu cyfer. Mae hyn yn golygu bod rhaid i ein hysgol, lle bynnag y bo’n bosibl, storio Data Personol mewn ffordd sy’n cyfyngu ar adnabod Gwrthrych y Data neu’n atal hynny.
Egwyddor 6: Uniondeb a Chyfrinachedd
Bydd Data Personol yn cael ei brosesu mewn ffordd sy’n sicrhau ei fod yn cael ei ddiogelu’n briodol, gan gynnwys ei ddiogelu yn erbyn prosesu diawdurdod neu anghyfreithlon, ac yn erbyn colled, dinistr neu ddifrod damweiniol. Mae’n rhaid i ein hysgol ddefnyddio mesurau technegol a sefydliadol priodol i sicrhau y cynhelir uniondeb a chyfrinachedd Data Personol bob amser.
Egwyddor 7: Atebolrwydd
Bydd y Rheolwr Data yn gyfrifol am gydymffurfiaeth ac yn gallu dangos hynny. Mae hyn yn golygu bod rhaid i ein hysgol ddangos bod y chwe Egwyddor Diogelu Data (a amlinellir uchod) yn cael eu bodloni ar gyfer yr holl Ddata Personol y mae’n gyfrifol amdano (bydd hyn yn cynnwys defnydd gan Drydydd Partïon at ddibenion prosesu).
Casglu Data a Defnyddio Data
Ffynonellau Data
Dylai Data Personol gael ei gasglu oddi wrth Wrthrych y Data yn unig oni bai bod un o’r canlynol yn berthnasol:
- Mae natur y diben busnes yn golygu bod angen casglu’r Data Personol oddi wrth unigolion neu gyrff eraill;
- Mae’n rhaid i’r Data Personol gael ei gasglu ar frys er mwyn diogelu buddiannau hollbwysig Gwrthrych y Data neu atal colled neu niwed difrifol i unigolyn arall.
Os cesglir Data Personol oddi wrth rywun arall heblaw am Wrthrych y Data, mae’n rhaid rhoi gwybod i Wrthrych y Data fod y Data Personol wedi cael ei gasglu oni bai bod un o’r canlynol yn berthnasol:
- Mae Gwrthrych y Data wedi derbyn y wybodaeth sy’n ofynnol trwy gyfrwng arall;
- Mae’n rhaid i’r wybodaeth aros yn gyfrinachol o ganlyniad i rwymedigaeth cyfrinachedd proffesiynol;
- Mae cyfraith y DU yn darparu’n benodol ar gyfer casglu, prosesu neu drosglwyddo’r Data Personol (disgwylir Rhanddirymiadau Cenedlaethol).
Lle y penderfynwyd bod angen rhoi gwybod i Wrthrych Data, dylid gwneud hynny’n brydlon, ac yn sicr dim hwyrach nag:
- Un mis calendr o’r adeg y casglwyd neu y cofnodwyd y Data Personol am y tro cyntaf;
- Adeg y cyfathrebiad cyntaf os defnyddiwyd ef i gyfathrebu â Gwrthrych y Data;
- Yr adeg datgelu os datgelwyd ef i dderbynnydd arall.
Cyfreithlondeb Prosesu
Wrth baratoi ar gyfer cyflwyno’r Rheoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data (GDPR y DU) a Deddf Diogelu Data 2018, mae’r sail gyfreithlon ar gyfer prosesu (gweler Amodau Prosesu, Atodiad A) wedi'i nodi a'i ddogfennu yn ein hysgol sy’n prosesu Data Personol. Mae’r wybodaeth hon wedi cael ei chrynhoi yn y Gofrestr Asedau Gwybodaeth a gynhelir ar y System MKI. Mae’n rhaid ymgynghori â’r Swyddog Diogelu Data ynglŷn ag unrhyw newidiadau i’r sail gyfreithlon ar gyfer prosesu, ac mae’n rhaid iddo eu cymeradwyo.
Caniateir prosesu Data Personol ymhellach at ddibenion sy’n mynd y tu hwnt i’r diben gwreiddiol y casglwyd y Data Personol ar ei gyfer mewn rhai amgylchiadau. Wrth benderfynu ar gydnawsedd y rheswm newydd dros brosesu, mae’n rhaid cael arweiniad a chymeradwyaeth gan y Tîm Llywodraethu Gwybodaeth cyn y caiff unrhyw brosesu o’r fath ddechrau.
Er mwyn prosesu Data Personol yn gyfreithlon, mae’n rhaid i un o’r amodau canlynol, o leiaf, fod yn berthnasol:
- Mae Gwrthrych y Data wedi rhoi caniatâd i brosesu ei ddata personol ar gyfer un neu fwy o ddibenion penodol;
- Mae’r prosesu’n angenrheidiol i gyflawni contract y mae Gwrthrych y Data yn rhan ohono neu i gymryd camau ar gais Gwrthrych y Data cyn ffurfio contract;
- Mae’r prosesu’n angenrheidiol i gydymffurfio â rhwymedigaeth gyfreithiol y mae ein hysgol yn ddarostyngedig iddi;
- Mae’r prosesu’n angenrheidiol i ddiogelu buddiannau hollbwysig Gwrthrych y Data neu unigolyn byw arall;
- Mae’r prosesu’n angenrheidiol i gyflawni tasg er budd y cyhoedd neu i arfer awdurdod swyddogol a roddwyd i ein hysgol;
- Mae’r prosesu’n angenrheidiol at ddibenion y buddiannau dilys a geisir gan ein hysgol neu drydydd parti, heblaw pan fydd buddiannau o’r fath yn cael eu gwrthbwyso gan fuddiannau neu hawliau a rhyddidau sylfaenol Gwrthrych y Data, sy’n golygu bod angen diogelu data personol, yn enwedig pan fydd gwrthrych y data’n blentyn.
Er mwyn prosesu Categorïau Arbennig o Ddata Personol yn gyfreithlon, mae’n rhaid i un o’r amodau canlynol, o leiaf, fod yn berthnasol:
- Mae Gwrthrych y Data wedi rhoi caniatâd penodol i brosesu’r Data Personol hwnnw ar gyfer un neu fwy o ddibenion penodol;
- Mae’r prosesu’n angenrheidiol i gyflawni rhwymedigaethau ac arfer hawliau penodol ein hysgol neu Wrthrych y Data ym maes cyfraith cyflogaeth a nawdd cymdeithasol a diogelu cymdeithasol i’r graddau y’i hawdurdodwyd gan y Gyfraith Genedlaethol; (gweler Atodiad A 1 am ragor o arweiniad)
- Mae’r prosesu’n angenrheidiol i ddiogelu buddiannau hollbwysig Gwrthrych y Data neu unigolyn byw arall lle nad yw Gwrthrych y Data yn gallu rhoi caniatâd yn gorfforol neu’n gyfreithiol;
- Mae’r prosesu’n ymwneud â Data Personol a wnaed yn gyhoeddus gan Wrthrych y Data;
- Mae’r prosesu’n angenrheidiol i sefydlu, arfer neu amddiffyn hawl gyfreithiol neu pryd bynnag y bydd llysoedd yn gweithredu yn eu rhinwedd farnwrol;
- Mae’r prosesu’n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd; (gweler Atodiad B am ragor o fanylion)
- Mae’r prosesu’n angenrheidiol at ddibenion meddygaeth ataliol neu alwedigaethol, i asesu gallu’r cyflogai i weithio, diagnosis meddygol, darparu gofal iechyd, gofal cymdeithasol neu driniaeth, neu reoli systemau a gwasanaethau iechyd neu ofal cymdeithasol ar sail Cyfraith yr Undeb neu Aelod-wladwriaeth neu yn unol â chontract gyda gweithiwr iechyd proffesiynol ac yn ddarostyngedig i amodau a mesurau diogelu (h.y. caiff ei brosesu gan neu o dan gyfrifoldeb gweithiwr proffesiynol sy’n ddarostyngedig i rwymedigaeth cyfrinachedd proffesiynol neu gan unigolyn arall sydd hefyd yn ddarostyngedig i rwymedigaeth cyfrinachedd gan gyrff sy’n gymwys yn genedlaethol, e.e. codau ymddygiad proffesiynol); (gweler Atodiad A am ragor o arweiniad).
- Mae’r prosesu’n angenrheidiol er budd y cyhoedd ym maes iechyd cyhoeddus, megis diogelu yn erbyn bygythiadau trawsffiniol i iechyd neu sicrhau safonau uchel o ansawdd a diogelwch gofal iechyd a chynhyrchion meddyginiaethol neu ddyfeisiau meddygol, ar sail cyfraith yr Undeb neu Aelod-wladwriaeth sy’n darparu mesurau addas a phenodol i ddiogelu hawliau a rhyddidau gwrthrych y data, yn enwedig cyfrinachedd proffesiynol; (gweler Atodiad A 3 am ragor o arweiniad)
- Mae’r prosesu’n angenrheidiol at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil wyddonol neu hanesyddol neu at ddibenion ystadegol yn seiliedig ar gyfraith yr Undeb neu Aelod-wladwriaeth a fydd yn gymesur â’r nod a geisir, yn parchu hanfod yr hawl i ddiogelu data ac yn darparu mesurau addas a phenodol i ddiogelu hawliau sylfaenol a buddiannau gwrthrych y data; (gweler Atodiad A 4 am ragor o arweiniad)
- Mae’r prosesu’n angenrheidiol at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil wyddonol neu hanesyddol neu at ddibenion ystadegol. (gweler Atodiad A 4 am ragor o arweiniad)
Hysbysiadau Preifatrwydd
Mae’r GDPR y DU yn fwy penodol ynglŷn â’r wybodaeth y mae’n rhaid i ni ei rhoi i bobl am yr hyn rydym ni’n ei wneud â’u data personol. Mae’n rhaid i ni roi’r wybodaeth hon i unigolion mewn ffordd sy’n rhwydd cael gafael arni, ei darllen a’i deall.
Mae darparu hysbysiadau preifatrwydd eglur a chryno yn ymdrin â rhai o’r gofynion tryloywder allweddol o dan y ddeddfwriaeth Diogelu Data. Mae’r rhestr wirio yn Atodiad C yn rhoi arweiniad ar yr hyn y mae’n rhaid i ni ei gynnwys mewn hysbysiad preifatrwydd, gan ddibynnu ar b’un a gasglwyd y data personol oddi wrth yr unigolyn y mae’n ymwneud ag ef neu o ffynhonnell arall.
Cyhoeddir Hysbysiadau Preifatrwydd ar gyfer ein hysgolion ar ein gwefan.
Ansawdd Data
Ein hysgol yn mabwysiadu’r holl fesurau angenrheidiol i sicrhau bod y Data Personol y mae’n ei gasglu a’i brosesu’n gyflawn ac yn gywir yn y lle cyntaf, ac yn cael ei ddiweddaru i adlewyrchu sefyllfa bresennol Gwrthrych y Data (fel y bo’n berthnasol). Mae’r mesurau a fabwysiadwyd gan ein hysgol i sicrhau ansawdd data yn cynnwys:
- Cywiro Data Personol y gwyddys ei fod yn anghywir, yn wallus, yn anghyflawn, yn amwys, yn gamarweiniol neu’n hen, hyd yn oed os nad yw gwrthrych y data’n gofyn iddo gael ei gywiro;
- Cadw Data Personol dim ond am y cyfnod sy’n angenrheidiol i fodloni’r defnyddiau a ganiateir neu’r cyfnod cadw statudol sy’n berthnasol;
- Dileu Data Personol os yw’n torri unrhyw un o’r egwyddorion Diogelu Data neu os nad oes angen y Data Personol mwyach;
- Cyfyngu ar Ddata Personol, yn hytrach na’i ddileu, i’r graddau canlynol:
- Bod y gyfraith yn gwahardd ei ddileu
- Y byddai ei ddileu yn amharu ar fuddiannau dilys Gwrthrych y Data
- Bod Gwrthrych y Data yn dadlau bod ei Ddata Personol yn gywir ac ni ellir cadarnhau’n bendant p’un a yw ei wybodaeth yn gywir neu’n anghywir.
Cadw Data
Er mwyn sicrhau Prosesu Teg, ni fydd ein hysgol yn cadw Data Personol am gyfnod hwy nag sy’n angenrheidiol ar gyfer y dibenion y’i casglwyd yn wreiddiol ar eu cyfer, neu’r dibenion y’i proseswyd ymhellach ar eu cyfer.
Mae’r cyfnod y bydd angen i Gyngor Sir Penfro gadw Data Personol wedi’i amlinellu yn Atodlen Cadw Cofnodion Cyngor Sir Penfro. Mae hyn wedi’i seilio ar Arweiniad yr Archifau Cenedlaethol ar gyfer Awdurdodau Lleol, sy’n diffinio’r graddfeydd amser statudol ar gyfer categorïau prosesu Data Personol ar draws yr Awdurdod yn ôl gwasanaeth/swyddogaeth. Yn absenoldeb Graddfa Amser Statudol, cedwir cofnodion am y cyfnod lleiaf posibl er mwyn diogelu hawliau Gwrthrych y Data.
Mesurau Technegol a Sefydliadol
Bydd ein hysgol yn mabwysiadu mesurau ffisegol, technegol a sefydliadol i sicrhau diogelwch Data Personol. Mae hyn yn cynnwys atal colli neu ddifrodi Data Personol, atal ei newid, cael mynediad ato neu ei brosesu heb awdurdod, a risgiau eraill y gallai Data Personol fod yn agored iddynt trwy gyfrwng gweithred ddynol neu’r amgylchedd ffisegol neu naturiol.
Rhoddir rhagor o fanylion am y mesurau diogelwch gofynnol a fabwysiadwyd gan ein hysgol yn y polisïau canlynol:
- Polisi Diogelwch TG ac e-Bost/Rhyngrwyd
- Polisi Rheoli Cofnodion
- Polisi Gwastraff Cyfrinachol
Crynhoir isod y mesurau diogelwch sy’n ymwneud â Data Personol:
- Atal unigolion heb awdurdod rhag cael mynediad at systemau prosesu data a ddefnyddir i brosesu Data Personol;
- Atal unigolion sydd â hawl i ddefnyddio system prosesu data rhag cael mynediad at Ddata Personol sydd y tu hwnt i’w hanghenion a’u hawdurdodiad;
- Sicrhau nad oes modd i Ddata Personol gael ei ddarllen, ei gopïo, ei addasu na’i ddileu o system prosesu data tra bydd yn cael ei gludo trwy drosglwyddiad electronig;
- Sicrhau, pan fydd prosesu’n cael ei wneud gan Brosesydd Data, bod y data’n gallu cael ei brosesu yn unol â chyfarwyddiadau’r Rheolwr Data yn unig;
- Sicrhau bod Data Personol yn cael ei ddiogelu yn erbyn dinistr neu golled nas dymunir;
- Sicrhau bod Data Personol a gesglir at ddibenion gwahanol yn gallu cael ei brosesu ar wahân a’i fod yn cael ei brosesu ar wahân;
- Sicrhau nad yw Data Personol yn cael ei gadw am gyfnod hwy nag sy’n angenrheidiol.
Rhannu Data
Mae’n bosibl y bydd cais yn cael ei wneud i rannu gwybodaeth â thrydydd partïon. Gallai hwn fod yn gais unigol neu’n gais i rannu data’n systematig.
Rhannu Data Unwaith
A ninnau’n Rheolwr Data, ni fyddem yn datgelu data personol i unrhyw aelod o’r cyhoedd. Byddai ceisiadau o’r fath yn cael eu trin o dan Ddeddf Rhyddid Gwybodaeth 2000, sy’n eithrio rhannu gwybodaeth bersonol.
Fodd bynnag, mae’n bosibl y bydd adegau pan fyddai’n briodol rhannu data personol â thrydydd parti, fel gweithiwr proffesiynol arall, llys, corff rheoleiddiol, ac ati. Dylech ystyried a chofnodi’r pwyntiau canlynol i gyfiawnhau’r sail resymegol dros eich penderfyniad:
- A ydych chi’n credu y dylech rannu’r wybodaeth?
- A ydych chi wedi asesu’r buddiannau a’r risgiau posibl i unigolion a/neu gymdeithas mewn perthynas â rhannu neu beidio â rhannu’r wybodaeth?
- A ydych chi’n pryderu bod unigolyn mewn perygl o gael niwed difrifol?
- A oes angen i chi ystyried esemptiad yn y Ddeddf Diogelu Data i rannu’r wybodaeth?
- A oes gennych chi’r grym i’w rhannu?
- A oes gennych chi rwymedigaeth gyfreithiol i’w rhannu?
Os penderfynwch rannu’r wybodaeth, bydd angen i chi:
- Rannu’r hyn sy’n angenrheidiol yn unig
- Gwahaniaethu rhwng ffaith a barn
- Rhannu’r wybodaeth yn ddiogel
- Sicrhau eich bod yn rhoi’r wybodaeth i’r unigolyn iawn
- Ystyried a yw’n briodol/yn ddiogel rhoi gwybod i wrthrych y data eich bod wedi rhannu ei wybodaeth.
Cofnodwch eich penderfyniad:
- Pa wybodaeth a rannwyd ac at ba ddiben
- Gyda phwy y rhannwyd y wybodaeth
- Pryd y rhannwyd y wybodaeth
- Eich cyfiawnhad dros rannu’r wybodaeth
- P’un a rannwyd y wybodaeth gyda chaniatâd neu heb ganiatâd.
Dylech drafod ceisiadau am wybodaeth â’ch Perchennog Asedau Gwybodaeth, - hwn fydd eich Pennaeth.
Rhannu Data’n Systematig
Bydd gan lawer o wasanaethau resymau pam y gallent ddymuno rhannu data personol yn rheolaidd â thrydydd parti. Yn yr achosion hyn, mae’n rhaid i chi sefydlu cytundeb rhannu data/protocol rhannu gwybodaeth. Yn ogystal ag ystyried y pwyntiau allweddol uchod, dylai’r cytundeb rhannu data/protocol rhannu gwybodaeth ymdrin â’r materion canlynol:
- Pa wybodaeth y mae angen ei rhannu
- Y sefydliadau a fydd yn gysylltiedig
- Beth y bydd angen i chi ei ddweud wrth wrthrych data am y broses rhannu data a sut y byddwch yn cyfleu’r wybodaeth honno (hysbysiad preifatrwydd)
- Bod mesurau diogelwch digonol ar waith i ddiogelu’r data
- Pa drefniadau y mae angen iddynt fod ar waith i sicrhau bod gwrthrychau data’n gallu cael mynediad at eu data personol os byddant yn gofyn amdano
- Cyfnodau cadw cyffredin y cytunwyd arnynt ar gyfer y data
- Prosesau i sicrhau bod data’n cael ei waredu/ei ddileu yn ddiogel.
Mae Cyngor Sir Penfro wedi llofnodi Cytundeb Rhannu Gwybodaeth Bersonol Cymru (WASPI) (yn agor mewn tab newydd). Mae hyn yn darparu arfer da o ran rhannu data ac yn galluogi gwasanaethau cyhoeddus i gyflawni eu cyfrifoldebau diogelu data wrth iddynt symud tuag at weithio ar y cyd. Bydd y Tîm Llywodraethu Gwybodaeth yn gallu helpu i ddatblygu cytundebau rhannu data/protocolau rhannu gwybodaeth, ac mae’n rhaid ymgynghori ag ef o’r cychwyn cyntaf.
Trosglwyddo Data
Mae’r GDPR y DU yn gosod gwaharddiad cyffredinol ar drosglwyddo data personol y tu allan i’r UE, oni bai:
- Bod y trosglwyddiad wedi’i seilio ar benderfyniad digonolrwydd;
- Bod y trosglwyddiad yn destun mesurau diogelu priodol;
- Bod y trosglwyddiad yn cael ei lywodraethu gan Reolau Corfforaethol Cyfrwymol; neu
- Bod y trosglwyddiad yn gyson ag esemptiadau penodol.
Ym mhob achos, dylech gysylltu â’r Swyddog Diogelu Data cyn trosglwyddo data y tu allan i’r UE. Byddai cael mynediad at ddata personol o bell o’r tu allan i’r UE yn dod o dan y diffiniad hwn.
Data Plant
Mae angen diogelu plant yn arbennig pan fyddwch yn casglu ac yn prosesu eu data personol, oherwydd gallent fod yn llai ymwybodol o’r risgiau sy’n gysylltiedig. Fel ysgol sy'n prosesu data personol plant, dylem ystyried yr angen i'w hamddiffyn a systemau a phrosesau dylunio gyda hyn mewn golwg (Asesiad o’r Effaith ar Breifatrwydd Data).
Os dibynnir ar ganiatâd fel y sail gyfreithlon ar gyfer prosesu, bydd angen ystyried y canlynol:
- Cymhwysedd y plentyn (p’un a yw’n gallu deall goblygiadau casglu a phrosesu ei ddata personol). Os na ystyrir bod plentyn yn gymwys, nid yw’r caniatâd yn ‘wybodus’ ac felly nid yw’n ddilys;
- Yr anghydbwysedd grym o ran eich perthynas â’r plentyn, i sicrhau os byddwch yn derbyn ei ganiatâd ei fod yn cael ei roi’n rhydd;
- A ydych chi’n darparu gwasanaeth ar-lein i blant? Os ydych chi’n dibynnu ar ganiatâd, rhaid i chi geisio caniatâd rhieni ar gyfer plant sy’n iau na 13 oed, oni bai bod y gwasanaeth ar-lein yn wasanaeth ataliol neu gwnsela.
Mae tryloywder yn hollbwysig. Gallwch gynyddu ymwybyddiaeth plant (a’u rhieni) o risgiau, canlyniadau, mesurau diogelu a hawliau diogelu data trwy:
- Ddweud wrthynt beth rydych chi’n ei wneud â’u data personol;
- Bod yn agored ynglŷn â’r risgiau a’r mesurau diogelu sy’n gysylltiedig; a
- Rhoi gwybod iddynt beth i’w wneud os byddant yn anfodlon.
Mae’n rhaid i ni ddarparu hysbysiadau preifatrwydd priodol i oedran ar gyfer plant. Mae’n rhaid iddynt gael eu hysgrifennu’n glir fel bod plant yn gallu deall beth fydd yn digwydd i’w data personol, a pha hawliau sydd ganddynt.
Prosesyddion Data
Mae Prosesydd Data yn gyfrifol am brosesu data personol ar ran rheolwr data. Mae enghreifftiau’n cynnwys defnyddio’r Post Brenhinol i ddanfon post, darpariaeth Cwmwl neu drydydd partïon sydd â chontract i waredu gwastraff cyfrinachol. Mae’r GDPR Y DU yn berthnasol i Reolwyr Data a Phrosesyddion Data. Mae gan Brosesyddion Data rwymedigaethau cyfreithiol penodol, er enghraifft, mae’n rhaid iddynt gadw cofnodion o weithgareddau prosesu data personol. Mae gan Brosesyddion Data atebolrwydd cyfreithiol erbyn hyn os ydynt yn gyfrifol am achos o fynediad diawdurdod at ddata.
Mae’r GDPR y DU yn gosod rhwymedigaethau penodol ar Reolwyr Data i ffurfio contract â Phrosesyddion Data, y mae’n rhaid iddo gynnwys cymalau penodol. Mae’n rhaid i’r Rheolwr Data hefyd allu dangos tystiolaeth ei fod wedi cynnal archwiliadau diwydrwydd dyladwy cyn ffurfio contract, ac mae’n rhaid iddo fonitro’r contract yn rheolaidd, a dangos tystiolaeth o hynny, i gael sicrwydd priodol bod y Prosesydd Data yn cydymffurfio â’r GDPR y DU.
Hawliau Gwrthrych Data
Yr Hawl i Gael Gwybod
Mae gan unigolion yr hawl i gael gwybod sut mae eu data personol yn cael ei gasglu a’i ddefnyddio. Mae hyn yn ofyniad tryloywder allweddol o dan y GDPR y DU. Mae Adran 4.1 ar Ffynonellau Data, Adran 4.3 ar Hysbysiadau Preifatrwydd ac Atodiad C yn rhoi rhagor o wybodaeth am gydymffurfio â’r hawl hon.
Yr Hawl i Gael Mynediad (Cais Gwrthrych am Wybodaeth)
Os bydd unigolyn yn gwneud cais yn ymwneud ag unrhyw un o’r hawliau a restrir, bydd ein hysgol yn ystyried pob cais yn unol â’r holl ddeddfau a rheoliadau Diogelu Data perthnasol.
Ni chodir ffi weinyddol i'r pwnc data ar gyfer ystyried a / neu gydymffurfio â chais o'r fath oni bai bod y cais yn cael ei ystyried yn ddiangen neu’n ormodol.
Mae gan Wrthrych Data yr hawl, yn seiliedig ar gais a wnaed i'r Tîm Mynediad i Gofnodion trwy ein hysgol a thrwy ddilysu eu hunaniaeth yn llwyddiannus, yr wybodaeth ganlynol am eu Data Personol eu hunain;
Cadarnhad ynglŷn â ph’un a yw data personol amdano’n cael ei brosesu ai peidio. Os ydyw, caiff fynediad at y wybodaeth bersonol fel y’i diffinnir isod:
- Dibenion casglu, prosesu, defnyddio a storio ei ddata personol;
- Ffynhonnell/ffynonellau’r data personol, os na chafwyd ef oddi wrth Wrthrych y Data;
- Categorïau’r data personol sy’n cael ei storio ar gyfer Gwrthrych y Data;
- Y derbynyddion neu’r categorïau derbynyddion y mae’r data personol wedi cael ei drosglwyddo iddynt neu y gallai gael ei drosglwyddo iddynt, ynghyd â lleoliad y derbynyddion hynny;
- Y cyfnod storio disgwyliedig ar gyfer y data personol neu’r sail resymegol dros benderfynu ar y cyfnod storio;
- Y defnydd o unrhyw benderfyniadau a wneir yn awtomataidd, gan gynnwys proffilio;
- Hawl Gwrthrych y Data i:
- Wrthwynebu prosesu ei Ddata Personol
- Cyflwyno cwyn i Swyddfa’r Comisiynydd Gwybodaeth
- Gofyn i’w ddata personol gael ei gywiro neu ei ddileu
- Gofyn am gyfyngu ar brosesu ei ddata personol.
Dylid nodi y gallai sefyllfaoedd godi lle y byddai darparu’r wybodaeth y gofynnwyd amdani gan Wrthrych Data yn datgelu Data Personol am unigolyn arall y bydd angen ei guddio.
Mae’r Tîm Mynediad at Gofnodion wedi cael hyfforddiant ar ymdrin â cheisiadau ac amlygu data trydydd parti, ac mae ganddo feddalwedd guddio i gynorthwyo â’r broses hon. Dyna pam mae’n hanfodol i bob cais gael ei brosesu gan y Tîm Mynediad at Gofnodion.
Yr Hawl i Gywiro
Mae gan unigolion yr hawl i ofyn i ddata personol gwallus gael ei gywiro, neu iddo gael ei gwblhau os yw’n anghyflawn. Gall unigolyn wneud cais am gywiriad ar lafar neu’n ysgrifenedig. Rhaid cofnodi ceisiadau ar gofnod y pynciau Data a'u prosesu o fewn un mis calendr. Bydd cadw cofnod o’r dyddiad y derbyniwyd y cais, pwy a’i derbyniodd a sut (e.e. e-bost, llythyr, galwad ffôn) a phryd y’i gweithredwyd, yn bodloni’r gofyniad atebolrwydd.
Gellir gwrthod cais am gywiro mewn rhai amgylchiadau. Er enghraifft, efallai y bydd cofnod wedi’i gadw o wall: er y byddai’n briodol cywiro gwall, byddai hefyd yn briodol cadw cofnod bod y gwall wedi cael ei gywiro. Os bydd unigolyn yn gofyn i’r cofnod o’r gwall gael ei ddileu, gallai hynny gael ei wrthod oherwydd bod y cofnod bod y gwall wedi digwydd yn gywir ynddo’i hun. Mewn rhai amgylchiadau, gallai unigolyn herio cywirdeb barn broffesiynol, ond mae barn yn oddrychol. Cyhyd â bod y cofnod yn dangos yn eglur mai barn ydyw a barn pwy, byddai’n gofnod cywir.
Yr Hawl i Gyfyngu ar Brosesu
Nid hawl absoliwt yw hon ac mae’n berthnasol mewn rhai amgylchiadau yn unig, e.e. mae cywirdeb y data’n cael ei herio, mae’r data wedi cael ei brosesu’n anghyfreithlon, mae’r unigolyn wedi gwrthwynebu prosesu ac mae’r sail gyfreithlon ar gyfer prosesu’n cael ei hystyried.
Pan gyfyngir ar brosesu, gellir storio data ond nid ei ddefnyddio. Bydd Perchenogion Asedau Gwybodaeth yn gyfrifol am sicrhau bod mesurau diogelu priodol o fewn eu systemau i allu cyfyngu ar brosesu.
Yr Hawl i Ddileu
Gelwir hyn hefyd ‘yr hawl i gael eich anghofio’. Gall unigolion wneud cais am ddileu ar lafar neu’n ysgrifenedig, ac mae’n rhaid ymateb iddo o fewn un mis calendr. Mae’r hawl i ddileu yn berthnasol mewn rhai amgylchiadau yn unig:
- Nid oes angen y data personol mwyach at y diben y cafodd ei gasglu neu ei brosesu ar ei gyfer yn wreiddiol;
- Y sail gyfreithiol ar gyfer prosesu yw ‘caniatâd’;
- Y sail gyfreithiol ar gyfer prosesu yw ‘buddiannau dilys’, mae’r unigolyn yn gwrthwynebu’r prosesu ac nid oes buddiant dilys tra phwysig i barhau â’r prosesu;
- Mae’r prosesu at ddibenion marchnata uniongyrchol ac mae’r unigolyn yn gwrthwynebu’r math hwnnw o brosesu;
- Mae’r data personol wedi cael ei brosesu’n anghyfreithlon;
- Cydymffurfio â rhwymedigaeth gyfreithiol;
- Mae’r data personol wedi cael ei brosesu i gynnig gwasanaethau cymdeithas wybodaeth i blentyn.
Mae pwyslais ar yr hawl i ddileu data personol os yw’r cais yn ymwneud â data a gasglwyd oddi wrth blant. Mae hyn yn adlewyrchu’r ffaith bod gwybodaeth plant yn cael ei hamddiffyn yn gryfach, yn enwedig mewn amgylcheddau ar-lein, o dan y GDPR y DU.
Os yw’r data personol wedi cael ei ddatgelu i bobl eraill, mae’n rhaid cysylltu â phob derbynnydd i roi gwybod iddo ei fod wedi’i ddileu, oni bai bod hyn yn amhosibl neu’n golygu ymdrech anghymesur. Os gofynnir i chi wneud hynny, mae’n rhaid i chi roi gwybod i’r unigolion am y derbynyddion hyn.
Yr Hawl i Gludadwyedd Data
Mae’r hawl i gludadwyedd data yn caniatáu i unigolion gael gafael ar eu data personol a’i ailddefnyddio at eu dibenion eu hunain ar draws gwahanol wasanaethau. Mae’n caniatáu iddynt symud, copïo neu drosglwyddo data personol yn rhwydd o un amgylchedd TG i’r llall mewn ffordd ddiogel, heb effeithio ar ei ddefnyddioldeb. Bydd yr hawl hon yn berthnasol yn bennaf i ddarparwyr gwasanaethau cyfleustodau, bancio a darparwyr ffonau symudol, ac mae’n annhebygol o fod yn berthnasol i wasanaethau a ddarperir gan ein hysgol. Mae’r hawl yn berthnasol i wybodaeth a roddir i’r ein hysgol yn unig.
Yr Hawl i Wrthwynebu
Mae’r GDPR y DU yn rhoi’r hawl i unigolion wrthwynebu prosesu eu data personol mewn rhai amgylchiadau. Mae gan unigolion yr hawl absoliwt i atal eu data rhag cael ei ddefnyddio ar gyfer marchnata uniongyrchol.
Gall unigolyn wrthwynebu pan ddibynnir ar un o’r seiliau cyfreithlon canlynol:
- ‘tasg gyhoeddus’ (i gyflawni tasg a gynhelir er budd y cyhoedd);
- ‘tasg gyhoeddus’ (i arfer awdurdod swyddogol a roddwyd i’r ein hysgol); neu
- ‘fuddiannau dilys’.
Mae’n rhaid i unigolyn roi rheswm penodol pam mae’n gwrthwynebu prosesu ei ddata. Mewn amgylchiadau o’r fath, nid yw hyn yn hawl absoliwt, a gellir parhau i brosesu’r data:
- Os gall ein hysgol ddangos sail gyfreithlon gymhellol ar gyfer prosesu sy’n drech na buddiannau, hawliau a rhyddidau’r unigolyn; neu
- Os yw’r prosesu ar gyfer sefydlu, arfer neu amddiffyn hawl gyfreithiol.
Mae’n rhaid rhoi gwybod i unigolion am eu hawl i wrthwynebu. Os derbynnir gwrthwynebiad, mae’n rhaid ymateb iddo o fewn un mis calendr. Mae’n rhaid i’r sail resymegol ar gyfer y penderfyniad gael ei chofnodi’n eglur a’i chyfleu i’r unigolyn. Os gwrthodir y gwrthwynebiad, mae’n rhaid rhoi gwybod i’r unigolyn am ei hawl i gyflwyno cwyn i’r ICO.
Hawliau sy’n ymwneud â Gwneud Penderfyniadau Awtomataidd, gan gynnwys Proffilio
Mae gan y GDPR y DU ddarpariaethau ar:
- Wneud penderfyniadau unigol yn awtomataidd (gwneud penderfyniad trwy gyfrwng awtomataidd yn unig heb unrhyw gyfranogiad dynol); a
- Phroffilio (prosesu data personol yn awtomataidd i werthuso pethau penodol am unigolyn). Gall proffilio fod yn rhan o broses gwneud penderfyniadau awtomataidd.
Mae gan y GDPR y DU reolau ychwanegol i ddiogelu unigolion pan wneir penderfyniadau awtomataidd sy’n cael effaith gyfreithiol neu effeithiau yr un mor arwyddocaol arnynt. Gellir gwneud y math hwn o benderfyniad dim ond pan fydd:
- Yn angenrheidiol i lunio neu gyflawni contract; neu
- Wedi’i awdurdodi gan gyfraith yr Undeb neu’r DU; neu
- Wedi’i seilio ar ganiatâd penodol unigolyn.
Ceisiadau a Datgeliadau Gorfodi’r Gyfraith
Mewn rhai amgylchiadau, caniateir rhannu data personol heb wybodaeth na chaniatâd gwrthrych y data. Mae hyn yn wir pan fydd angen datgelu’r data personol at unrhyw un o’r dibenion canlynol:
- Atal neu ganfod trosedd;
- Restio neu erlyn troseddwyr;
- Asesu neu gasglu treth neu doll;
- Trwy orchymyn llys neu unrhyw reolaeth cyfraith.
Os bydd ein hysgol yn prosesu data personol at unrhyw un o’r dibenion hyn, caiff gymhwyso esemptiad i’r rheolau prosesu a amlinellir yn y polisi hwn (Atodiad C), ond dim ond i’r graddau y byddai peidio â gwneud hynny’n debygol o beryglu’r achos dan sylw.
Os bydd unrhyw un o gyflogeion ein hysgol yn derbyn cais gan lys neu unrhyw awdurdod rheoleiddiol neu orfodi’r gyfraith am wybodaeth yn ymwneud ag un o gysylltiadau Cyngor Sir Penfro, mae’n rhaid rhoi gwybod i’r Tîm Llywodraethu Gwybodaeth a fydd yn gallu rhoi arweiniad a chymorth.
Esemptiadau Diogelu Data
Mae Deddf Diogelu Data 2018 yn diffinio esemptiadau i gymhwyso gofynion penodol o dan y GDPR y DU. Mae Atodiad C yn rhoi manylion am yr esemptiadau i’r GDPR y DU ac yn eu croesgyfeirio i ofynion (Erthyglau) y GDPR y DU. Mae’n eithaf cymhleth cymhwyso’r esemptiadau mewn rhai amgylchiadau, a bydd angen cyfeirio at arweiniad penodol yn Neddf Diogelu Data 2018; dyna pam mae’r tabl yn croesgyfeirio i’r adran berthnasol o’r Ddeddf. Dylid ceisio cyngor gan y Swyddog Diogelu Data trwy’r Tîm Llywodraethu Gwybodaeth.
Er mwyn bodloni’r gofyniad Atebolrwydd, mae’n rhaid cofnodi a chadw’r sail resymegol dros gymhwyso esemptiad. Os bydd yr ICO yn cael cwyn, bydd yn gofyn am y wybodaeth hon wrth asesu’r gŵyn.
Atodiad A; Arweiniad Ychwanegol ar Amodau ar gyfer Prosesu
Cyflogaeth, Nawdd Cymdeithasol a Diogelu Cymdeithasol
Bodlonir yr amod hwn:
- Os yw’r prosesu’n angenrheidiol at ddibenion cyflawni neu arfer rhwymedigaethau neu hawliau a osodir ar y rheolwr neu wrthrych y data, neu a roddir iddo, gan y gyfraith mewn cysylltiad â chyflogaeth, nawdd cymdeithasol neu ddiogelu cymdeithasol, ac
- Os oes gan y rheolwr ddogfen bolisi briodol ar waith pan gyflawnir y prosesu.
Dibenion Iechyd a Gofal Cymdeithasol
Bodlonir yr amod hwn os yw’r prosesu’n angenrheidiol at un o’r dibenion canlynol:
- Meddygaeth ataliol neu alwedigaethol
- Asesu gallu cyflogai i weithio
- Diagnosis meddygol
- Darparu gofal iechyd neu driniaeth
- Darparu gofal cymdeithasol, neu
- Reoli systemau neu wasanaethau gofal iechyd neu systemau neu wasanaethau gofal cymdeithasol.
Ceir prosesu data personol at y dibenion hyn pan gaiff ei brosesu gan neu o dan gyfrifoldeb gweithiwr proffesiynol sy’n ddarostyngedig i rwymedigaeth cyfrinachedd proffesiynol a sefydlwyd gan gyrff cymwys cenedlaethol.
Iechyd Cyhoeddus
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol er budd y cyhoedd ym maes iechyd cyhoeddus, a’i fod
- Yn cael ei gynnal –
- Gan neu o dan gyfrifoldeb gweithiwr iechyd proffesiynol, neu
- Gan unigolyn arall y mae ganddo, yn yr amgylchiadau, ddyletswydd cyfrinachedd o dan ddeddfiad neu reolaeth cyfraith.
Ymchwil, ac ati.
Bodlonir yr amod hwn:
Os yw’r prosesu’n angenrheidiol at ddibenion archifo, dibenion ymchwil wyddonol neu hanesyddol neu ddibenion ystadegol.
- Os yw’r prosesu’n destun mesurau diogelu technegol a sefydliadol priodol, gan gynnwys, e.e. lleihau data, rhoi dan ffugenw. Lle y gellir cyflawni’r diben heb adnabod gwrthrych y data, dylai’r dibenion hynny gael eu cyflawni yn y modd hwnnw.
- Ni fydd prosesu o’r fath yn bodloni’r gofynion os yw’n debygol o achosi niwed neu ofid sylweddol i wrthrych data neu os yw’r prosesu’n cael ei gynnal at ddibenion mesurau neu benderfyniadau mewn perthynas ag unigolyn penodol.
Atodiad B; Amodau Budd Sylweddol ir Cyhoedd
Dibenion Statudol a Dibenion y Llywodraeth
Bodlonir yr amod hwn os yw’r prosesu’n angenrheidiol i:
- Arfer swyddogaeth a roddwyd i unigolyn gan ddeddfiad neu reolaeth cyfraith;
- Arfer un o swyddogaethau’r Goron, Gweinidog y Goron neu adran y llywodraeth.
A’i fod am resymau sydd o fudd sylweddol i’r cyhoedd.
Dibenion Gweinyddu Cyfiawnder a Dibenion Seneddol
Bodlonir yr amod hwn os yw’r prosesu’n angenrheidiol i:
- Weinyddu cyfiawnder, neu
- Arfer un o swyddogaethau’r naill dŷ Seneddol neu’r llall.
Cyfle Cyfartal neu Driniaeth Gyfartal
Bodlonir yr amod hwn os yw’r prosesu:
- Yn ymwneud â chategori penodol o ddata personol, a’i fod
- Yn angenrheidiol i amlygu neu adolygu’n barhaus fodolaeth neu absenoldeb cyfle cyfartal neu driniaeth gyfartal rhwng grwpiau o bobl a nodwyd mewn perthynas â’r categori hwnnw er mwyn gallu hybu neu gynnal y cyfryw gydraddoldeb;
Mae penodol yn golygu:
- Categori Data Personol: Data personol sy’n datgelu tarddiad hiliol neu ethnig
- Grwpiau o bobl (mewn perthynas â chategori data personol): Pobl o wahanol darddiad hiliol neu ethnig
- Categori Data Personol: Personal data revealing religious or philosophical beliefs
- Grwpiau o bobl (mewn perthynas â chategori data personol): Pobl sy’n glynu wrth wahanol gredoau crefyddol neu athronyddol
- Categori Data Personol: Data concerning health
- Grwpiau o bobl (mewn perthynas â chategori data personol): Pobl â gwahanol gyflyrau iechyd corfforol neu feddyliol
- Categori Data Personol: Personal data concerning an individual’s sexual orientation
- Grwpiau o bobl (mewn perthynas â chategori data personol): Pobl o wahanol gyfeiriadedd rhywiol
Ni fydd prosesu’n bodloni’r amod os yw’n cael ei gynnal at ddibenion mesurau neu benderfyniadau mewn perthynas â gwrthrych data penodol.
Ni fydd prosesu’n bodloni’r amod os yw’n debygol o achosi niwed neu ofid sylweddol i unigolyn.
Ni fydd prosesu’n bodloni’r amod:
- Os yw gwrthrych y data (neu un o wrthrychau’r data) wedi hysbysu’r yr ysgol yn ysgrifenedig i beidio â phrosesu ei ddata personol ac nid yw’r gofyniad wedi cael ei dynnu’n ôl;
- Os oedd yr hysbysiad wedi rhoi cyfnod rhesymol i’r yr ysgol roi’r gorau i brosesu’r cyfryw ddata; ac
- Os yw’r cyfnod wedi dod i ben.
Amrywiaeth Hiliol ac Ethnig ar Lefel Uwch Sefydliadau
Bodlonir yr amod hwn os yw’r prosesu:
- Yn ymwneud â data personol sy’n datgelu tarddiad hiliol neu ethnig;
- Yn cael ei gynnal yn rhan o broses o amlygu unigolion addas i ddal swyddi uwch mewn sefydliad penodol, math o sefydliad neu sefydliadau yn gyffredinol;
- Yn angenrheidiol i hybu neu gynnal amrywiaeth o ran tarddiad hiliol ac ethnig unigolion sy’n dal swyddi uwch yn y sefydliad neu’r sefydliadau, ac
- Yn gallu cael ei gynnal yn rhesymol heb ganiatâd gwrthrych y data (oni bai ei fod yn debygol o achosi niwed sylweddol neu ofid sylweddol i wrthrych y data). Gellir cynnal y prosesu’n rhesymol os na ellir disgwyl yn rhesymol i’r yr ysgol gael caniatâd ac nid yw’r ysgol yn ymwybodol bod gwrthrych y data’n gwrthod rhoi caniatâd.
Atal neu Ganfod Gweithredoedd Anghyfreithlon
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol at ddibenion atal neu ganfod gweithred anghyfreithlon;
- Yn gorfod cael ei gynnal heb ganiatâd gwrthrych y data er mwyn peidio â pheryglu’r dibenion hynny; ac
- Yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Diogelu’r Cyhoedd rhag Anonestrwydd
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol i arfer swyddogaeth amddiffynnol,
- Yn gorfod cael ei gynnal heb ganiatâd gwrthrych y data er mwyn peidio â pheryglu arfer y swyddogaeth honno, ac
- Yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Mae “Swyddogaeth Amddiffynnol” yn golygu swyddogaeth y bwriedir iddi ddiogelu aelodau’r cyhoedd yn erbyn:
- Anonestrwydd, camymddygiad neu fath arall o ymddygiad sy’n ddifrifol amhriodol,
- Anaddasrwydd neu anallu,
- Camreolaeth wrth weinyddu corff neu gymdeithas, neu
- Fethiannau mewn gwasanaethau a ddarperir gan gorff neu gymdeithas.
Gofynion Rheoleiddiol sy’n ymwneud â Gweithredoedd Anghyfreithlon ac Anonestrwydd
Bodlonir yr amod hwn:
- Os yw’r prosesu’n angenrheidiol i gydymffurfio â gofyniad rheoleiddiol, neu gynorthwyo pobl eraill i gydymffurfio â gofyniad rheoleiddiol, sy’n golygu bod rhywun yn cymryd camau i sefydlu p’un a yw rhywun arall wedi:
- Cyflawni gweithred anghyfreithlon, neu
- Wedi bod yn ymwneud ag anonestrwydd, camymddygiad neu fath arall o ymddygiad sy’n ddifrifol amhriodol.
- Yn yr amgylchiadau, os na ellir disgwyl yn rhesymol i’r ysgol gael caniatâd gwrthrych y data i’r prosesu, ac
- Os yw’r prosesu’n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Newyddiaduraeth ac ati mewn Cysylltiad â Gweithredoedd Anghyfreithlon ac Anonestrwydd
Bodlonir yr amod hwn:
- Os yw’r prosesu’n cynnwys datgelu data personol at y dibenion arbennig,
- Os yw’n cael ei gynnal mewn cysylltiad â mater a ddisgrifir isod,
- Os yw’n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd,
- Os yw’n cael ei gynnal gyda’r bwriad o gyhoeddi’r data personol gan unrhyw unigolyn, ac
- Os yw’r ysgol yn credu’n rhesymol y byddai cyhoeddi’r data personol er budd i’r cyhoedd.
Y materion y cyfeirir atynt yn yr ail bwynt uchod yw unrhyw un o’r canlynol (p’un a ydynt yn honedig neu wedi’u cadarnhau):
- Cyflawni gweithred anghyfreithlon gan unigolyn;
- Anonestrwydd, camymddygiad neu fath arall o ymddygiad difrifol amhriodol gan unigolyn;
- Anaddasrwydd neu anallu unigolyn;
- Camreolaeth wrth weinyddu corff neu sefydliad;
- Methiant mewn gwasanaethau a ddarperir gan gorff neu gymdeithas.
Atal Twyll
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol i atal twyll neu fath penodol o dwyll, a’i fod
- Yn cynnwys:
- Datgelu data personol gan unigolyn fel aelod o sefydliad gwrth-dwyll,
- Datgelu data personol yn unol â threfniadau a wnaed gan sefydliad gwrth-dwyll.
Amheuaeth o Gyllido Terfysgaeth neu Wyngalchu Arian
Bodlonir yr amod hwn os yw’r prosesu’n angenrheidiol at ddibenion gwneud datgeliad didwyll o dan y naill neu’r llall o’r canlynol:
- Adran 21CA Deddf Terfysgaeth 2000;
- Adran 339ZB Deddf Enillion Troseddau 2002 (datgeliadau o fewn y sector rheoleiddiedig mewn perthynas ag amheuaeth o wyngalchu arian).
Cymorth i unigolion ag anabledd neu gyflwr meddygol penodol
Bodlonir yr amod hwn os yw’r prosesu:
- Yn cael ei gynnal gan gorff dielw sy’n cynorthwyo unigolion ag anabledd neu gyflwr meddygol penodol,
- Yn ymwneud â data personol sy’n dod o fewn yr is-baragraffau hyn:
- Data personol sy’n datgelu tarddiad hiliol neu ethnig;
- Data genetig neu ddata biometrig;
- Data sy’n ymwneud ag iechyd
- Data personol sy’n ymwneud â bywyd rhywiol neu gyfeiriadedd rhywiol unigolyn.
A’i fod yn ymwneud ag unigolyn sy’n aelod o’r corff dielw ac:
- Sydd â’r anabledd neu’r cyflwr hwnnw, y bu ganddo’r anabledd neu’r cyflwr hwnnw neu sydd mewn perygl sylweddol o ddatblygu’r anabledd neu’r cyflwr hwnnw, neu
- Sy’n berthynas neu’n ofalydd unigolyn sy’n dod o fewn y categori uchod.
- Yn angenrheidiol at ddibenion:
- Cynyddu ymwybyddiaeth o’r anabledd neu’r cyflwr meddygol, neu
- Gynorthwyo unigolion neu alluogi unigolion i’w cynorthwyo ei gilydd,
- Yn gallu cael ei gynnal yn rhesymol heb ganiatâd gwrthrych y data, ac
- Yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Cwnsela ac ati
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol i ddarparu cwnsela, cyngor neu gymorth cyfrinachol neu wasanaeth arall tebyg a ddarperir yn gyfrinachol,
- Yn cael ei gynnal heb ganiatâd gwrthrych y data (ni all gwrthrych y data roi caniatâd, ni ellir cael caniatâd yn rhesymol, byddai cael caniatâd yn peryglu darparu’r gwasanaeth).
Diogelu Plant ac Unigolion sydd mewn Perygl
Bodlonir yr amod hwn:
- Os yw’r prosesu’n angenrheidiol at ddibenion:
- Amddiffyn unigolyn rhag esgeulustod neu niwed corfforol, meddyliol neu emosiynol, neu
- Amddiffyn llesiant corfforol, meddyliol neu emosiynol unigolyn,
- Os yw’r unigolyn:
- Yn iau na 18 oed, neu
- Yn 18 oed neu’n hŷn ac mewn perygl,
- Os yw’r prosesu’n cael ei gynnal heb ganiatâd gwrthrych y data am un o’r rhesymau canlynol:
- Yn yr amgylchiadau, ni all gwrthrych y data roi caniatâd i’r prosesu;
- Yn yr amgylchiadau, ni ellir disgwyl yn rhesymol i’r rheolwr gael caniatâd gwrthrych y data i’r prosesu;
- Byddai cael caniatâd yn peryglu darparu’r amddiffyniad.
- Os yw’r prosesu’n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Mae unigolyn 18 oed neu’n hŷn “mewn perygl” os oes gan y rheolwr achos rhesymol i amau bod yr unigolyn:
- Angen gofal a chymorth,
- Yn profi esgeulustod neu niwed corfforol, meddyliol neu emosiynol, neu mewn perygl o’u profi, ac
- O ganlyniad i’r anghenion hynny, nid yw’n gallu ei amddiffyn ei hun rhag yr esgeulustod neu’r niwed neu’r perygl ohonynt.
Diogelu Llesiant Economaidd Unigolion Penodol
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol at ddibenion amddiffyn llesiant economaidd unigolyn 18 oed neu hŷn sydd mewn perygl economaidd,
- Yn cynnwys data sy’n ymwneud ag iechyd,
- Yn cael ei gynnal heb ganiatâd gwrthrych y data, ac
- Yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.
Mae “unigolyn sydd mewn perygl” yn golygu unigolyn sy’n llai abl i amddiffyn ei lesiant economaidd o ganlyniad i anaf, salwch neu anabledd corfforol neu feddyliol.
Yswiriant
Bodlonir yr amod hwn os yw’r prosesu:
- Yn angenrheidiol at ddiben yswiriant,
- Yn ymwneud â data personol sy’n datgelu tarddiad hiliol neu ethnig, credoau crefyddol neu athronyddol neu aelodaeth ag undeb llafur, data genetig neu ddata sy’n ymwneud ag iechyd, ac
- Yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd:
- Lle nad yw’r prosesu’n cael ei gynnal at ddibenion mesurau neu benderfyniadau sy’n ymwneud â gwrthrych y data, a
- Lle nad oes gan wrthrych y data neu lle na ddisgwylir iddo gaffael: hawliau neu rwymedigaethau i unigolyn sy’n unigolyn yswiriedig o dan gontract yswiriant neu hawliau neu rwymedigaethau eraill mewn cysylltiad â chontract o’r fath.
Pensiynau Galwedigaethol
Bodlonir yr amod hwn:
- Os yw’r prosesu’n angenrheidiol i wneud penderfyniad mewn cysylltiad â chymhwysedd am gynllun pensiwn galwedigaethol neu fuddiannau sy’n daladwy o dan gynllun pensiwn galwedigaethol,
- Os yw’r prosesu’n cynnwys data sy’n ymwneud ag iechyd gwrthrych data sy’n rhiant, nain neu daid, hen nain neu daid neu frawd neu chwaer aelod o’r cynllun,
- Os nad yw’r prosesu’n cael ei gynnal at ddibenion mesurau neu benderfyniadau sy’n ymwneud â gwrthrych y data, ac
- Os gellir cynnal y prosesu’n rhesymol heb ganiatâd gwrthrych y data.
Pleidiau Gwleidyddol
Bodlonir yr amod hwn os yw’r prosesu:
- Yn ymwneud â data personol sy’n datgelu safbwyntiau gwleidyddol,
- Yn cael ei gynnal gan unigolyn neu sefydliad sydd wedi’i gynnwys yn y gofrestr a gynhelir o dan adran 23 Deddf Pleidiau Gwleidyddol, Etholiadau a Refferenda 2000, ac
- Yn angenrheidiol at ddibenion gweithgareddau gwleidyddol yr unigolyn neu’r sefydliad
Ni fodlonir yr amod os yw’n debygol o achosi niwed sylweddol neu ofid sylweddol i unigolyn.
Ni fodlonir yr amod:
- Os yw unigolyn sy’n wrthrych y data (neu’n un o wrthrychau’r data) wedi hysbysu’r ysgol yn ysgrifenedig i beidio â phrosesu data personol y mae’r unigolyn yn wrthrych data ar ei gyfer (ac nid yw wedi rhoi gwybod yn ysgrifenedig ei fod yn tynnu’r gofyniad hwnnw yn ôl),
- Os oedd yr hysbysiad wedi rhoi cyfnod rhesymol i’r rheolwr roi’r gorau i brosesu’r cyfryw ddata, ac
- Mae’r cyfnod hwnnw wedi dod i ben.
- Yn y paragraff hwn, mae gweithgareddau gwleidyddol yn cynnwys ymgyrchu, codi arian, arolygon gwleidyddol a gwaith achos.
Cynrychiolwyr Etholedig sy’n Ymateb i Geisiadau
Bodlonir yr amod hwn:
- Os yw’r prosesu’n cael ei gynnal:
- Gan gynrychiolydd etholedig neu rywun sy’n gweithredu gydag awdurdod cynrychiolydd o’r fath,
- Mewn cysylltiad â chyflawni swyddogaethau’r cynrychiolydd etholedig, ac
- Mewn ymateb i gais gan unigolyn y mae’r cynrychiolydd etholedig wedi cymryd camau ar ei ran, ac
- Os yw’r prosesu’n angenrheidiol at ddibenion y camau a gymerwyd yn rhesymol gan y cynrychiolydd etholedig mewn ymateb i’r cais hwnnw, neu mewn cysylltiad â’r camau hynny.
Lle y gwneir y cais i’r Cynrychiolydd Etholedig gan unigolyn heblaw am wrthrych y data, bodlonir yr amod dim ond os oes rhaid cynnal y prosesu heb ganiatâd gwrthrych y data am un o’r rhesymau canlynol:
- Yn yr amgylchiadau, ni all gwrthrych y data roi caniatâd i’r prosesu yn rhesymol;
- Yn yr amgylchiadau, ni ellir disgwyl yn rhesymol i’r cynrychiolydd etholedig gael caniatâd gwrthrych y data i’r prosesu;
- Byddai cael caniatâd gwrthrych y data yn peryglu’r camau a gymerir gan y cynrychiolydd etholedig;
- Mae’r prosesu’n angenrheidiol er budd unigolyn arall ac mae gwrthrych y data wedi gwrthod rhoi caniatâd yn afresymol.
Datgelu i Gynrychiolwyr Etholedig
Bodlonir yr amod hwn:
- Os yw’r prosesu’n golygu datgelu data personol:
- I gynrychiolydd etholedig neu unigolyn sy’n gweithredu gydag awdurdod cynrychiolydd o’r fath, ac
- Mewn ymateb i gyfathrebiad i’r ysgol gan y cynrychiolydd neu’r unigolyn hwnnw a wnaed mewn ymateb i gais gan unigolyn,
- Os yw’r data personol yn berthnasol i destun y cyfathrebiad, ac
- Os yw’r datgeliad yn angenrheidiol i ymateb i’r cyfathrebiad hwnnw.
Lle y gwneir y cais i’r cynrychiolydd etholedig gan unigolyn heblaw am wrthrych y data, bodlonir yr amod dim ond os oes rhaid i’r datgeliad gael ei wneud heb ganiatâd gwrthrych y data am un o’r rhesymau canlynol:
- Yn yr amgylchiadau, ni all gwrthrych y data roi caniatâd i’r prosesu;
- Yn yr amgylchiadau, ni ellir disgwyl yn rhesymol i’r cynrychiolydd etholedig gael caniatâd gwrthrych y data i’r prosesu;
- Byddai cael caniatâd gwrthrych y data yn peryglu’r camau a gymerir gan y cynrychiolydd etholedig;
- Mae’r prosesu’n angenrheidiol er budd unigolyn arall ac mae gwrthrych y data wedi gwrthod rhoi caniatâd yn afresymol.
Atodiad C Esemptiadau
Mae’r tabl isod yn crynhoi’r esemptiadau yn Neddf Diogelu Data 2018 (cyfeirir at y rhan berthnasol o’r Ddeddf) o erthyglau perthnasol y GDPR y DU.
Er hwylustod cyfeirio, dyma erthyglau perthnasol y GDPR y DU:
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 19: Hysbysu ynglŷn â chywiro, dileu neu gyfyngu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Trosedd a Threthiant: cyffredinol (Atodlen 2, Paragraff 2)
Esemptiad at ddibenion atal neu ganfod trosedd, restio neu erlyn troseddwyr, neu asesu neu gasglu treth neu doll.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Trosedd a Threthiant: system asesu risg (Atodlen 2, Paragraff 3)
Esemptiad ar gyfer data personol sy’n cynnwys dosbarthiad a gymhwysir i wrthrych data yn rhan o system asesu risg a weithredir gan lywodraeth, awdurdod lleol neu awdurdod arall sy’n gweinyddu budd-dal tai at ddibenion trosedd a threthiant.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
Mewnfudo (Atodlen 2, Paragraff 4)
Esemptiad at ddibenion cynnal rheolaeth effeithiol ar fewnfudo, neu ymchwilio i neu ganfod gweithgareddau a fyddai’n tanseilio cynnal rheolaeth effeithiol ar fewnfudo.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
Gwybodaeth y mae’n ofynnol ei datgelu yn ôl y gyfraith, ac ati, neu mewn cysylltiad ag achos cyfreithiol (Atodlen 2, Paragraff 5)
Esemptiad:
- Os oes rhaid i’r rheolwr sicrhau bod data personol ar gael i’r cyhoedd, yn ôl deddfiad;
- Os yw datgelu’n ofynnol yn ôl deddfiad, rheolaeth cyfraith neu orchymyn llys/tribiwnlys; neu
- Os yw datgelu’n angenrheidiol at ddibenion achos cyfreithiol gwirioneddol neu arfaethedig, neu i gael cyngor cyfreithiol neu sefydlu, arfer neu amddiffyn hawliau cyfreithiol.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Swyddogaethau a gynlluniwyd i ddiogelu’r cyhoedd, ac ati (Atodlen 2, Paragraff 7)
Esemptiad at ddibenion cyflawni swyddogaethau gan gyrff neu unigolion penodol, gan gynnwys:
- Diogelu’r cyhoedd rhag colled ariannol, niwed gan unigolion a awdurdodwyd i gyflawni unrhyw broffesiynau neu weithgarwch arall;
- Diogelu elusennau a chwmnïau buddiant cymunedol, a’u heiddo, rhag camdrafod;
- Diogelu iechyd a diogelwch unigolion yn y gwaith neu unigolion eraill mewn cysylltiad â gweithredoedd unigolion wrth eu gwaith;
- Diogelu’r cyhoedd rhag camweinyddiaeth a methiannau gan gorff cyhoeddus ac i reoleiddio ymddygiad gwrthgystadleuol.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Swyddogaethau rheoleiddiol sy’n ymwneud â gwasanaethau cyfreithiol, y gwasanaeth iechyd a gwasanaethau plant (Atodlen 2, Paragraff 8)
Esemptiad at ddiben cyflawni swyddogaethau gan gyrff neu unigolion penodol sy’n ymwneud â’r Bwrdd Gwasanaethau Cyfreithiol, ystyried cwynion cyfreithiol, cwynion ynglŷn â chamweinyddu cynllun gwneud iawn am gamweddau’r gwasanaeth iechyd gan unrhyw gorff neu unigolyn arall, cwynion ynglŷn â gofal cymdeithasol a lliniarol a chwynion ynglŷn â gwasanaethau cymdeithasol.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Swyddogaeth reoleiddiol cyrff eraill penodol (Atodlen 2, Paragraff 9)
Esemptiad at ddiben cyflawni swyddogaethau gan gyrff neu unigolion penodol sy’n ymwneud â’r Ombwdsmon Ariannol, ymchwilydd cwynion yn erbyn rheoleiddwyr ariannol, swyddog diogelu defnyddwyr heblaw am yr Awdurdod Cystadleuaeth a Marchnadoedd, swyddog monitro awdurdod perthnasol ac Ombwdsmon Gwasanaethau Cyhoeddus Cymru.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Braint Seneddol (Atodlen 2, Paragraff 11)
Esemptiad os yw’n ofynnol i osgoi torri braint seneddol.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Diogelu Hawliau Pobl Eraill (Atodlen 2, Paragraff 14)
Esemptiad pe byddai datgelu gwybodaeth gan reolwr yn golygu datgelu gwybodaeth yn ymwneud ag unigolyn arall a fyddai’n adnabyddadwy o’r wybodaeth.
- Erthygl 5: yr Egwyddorion
- Erthygl 15: Cais gwrthrych am wybodaeth
Braint Broffesiynol Gyfreithiol (Atodlen 2, Paragraff 17)
Esemptiad am wybodaeth sy’n destun braint broffesiynol gyfreithiol.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
Hunangyhuddo (Atodlen 2, Paragraff 20)
Esemptiad o rai o ddarpariaethau’r GDPR y DU lle byddai cydymffurfio’n datgelu bod trosedd wedi’i chyflawni ac felly’n golygu bod yr unigolyn hwnnw’n agored i achos cyfreithiol am y drosedd honno.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
Geirdaon Cyfrinachol (Atodlen 2, Paragraff 22)
Esemptiad os yw’r data personol yn cynnwys geirda cyfrinachol at ddibenion megis addysg, hyfforddiant neu gyflogaeth gwrthrych y data. Mae’r esemptiad hwn hefyd yn berthnasol i benodi gwrthrych y data i unrhyw swydd, gan gynnwys swydd wirfoddoli, neu ddarparu unrhyw wasanaeth gan wrthrych y data.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
Sgriptiau Arholiad a Marciau Arholiad (Atodlen 2, Paragraff 23)
Esemptiad pan fydd data personol yn cynnwys gwybodaeth a gofnodwyd gan ymgeiswyr yn ystod arholiad.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
Ymchwil ac Ystadegau (Atodlen 2, Paragraff 25)
Esemptiad os yw data personol yn cael ei brosesu at ddibenion ymchwil wyddonol neu hanesyddol, neu at ddibenion ystadegol.
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 19: Hysbysu ynglŷn â chywiro, dileu neu gyfyngu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Archifo er Budd y Cyhoedd (Atodlen 2, Paragraff 26)
Esemptiad os yw data personol yn cael ei brosesu at ddibenion archifo er budd y cyhoedd.
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 19: Hysbysu ynglŷn â chywiro, dileu neu gyfyngu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Data Iechyd a Brosesir gan Lys (Atodlen 3, Paragraff 3)
Esemptiad os yw data personol am iechyd yn cael ei brosesu gan Lys.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Disgwyliadau a Dymuniadau Gwrthrych Data mewn perthynas â Data Iechyd (Atodlen 3, Paragraff 4)
Esemptiad yn ymwneud â chais am ddata iechyd mewn sefyllfaoedd penodol pan fydd gwrthrych y data’n iau na 18 oed ac mae gan y ceisiwr gyfrifoldeb rhiant neu lle nad yw gwrthrych y data’n gallu rheoli ei faterion ei hun ac ni fyddai ymateb i’r cais yn cydymffurfio â dymuniadau gwrthrych y data.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Niwed Difrifol o ganlyniad i Ddatgelu Data Iechyd (Atodlen 3, Paragraff 5)
Esemptiad o Erthygl 15 (1) a (3) pan fodlonir y prawf niwed difrifol neu pan fydd rheolwr nad yw’n weithiwr iechyd proffesiynol yn cael barn gan rywun sy’n ymddangos fel petai’n weithiwr iechyd proffesiynol priodol.
- Erthygl 15: Cais gwrthrych am wybodaeth
* Mae’r Prawf Niwed Difrifol yn golygu ystyried p’un a fyddai cymhwyso Erthygl 15 Hawl i Fynediad at y data o dan y GDPR y DU yn debygol o achosi niwed difrifol i iechyd corfforol neu feddyliol gwrthrych y data neu unigolyn arall.
Data Gwaith Cymdeithasol a Brosesir gan Lys (Atodlen 3, Paragraff 9)
Esemptiad os yw data personol sy’n ymwneud â gwaith cymdeithasol yn cael ei brosesu gan Lys.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Disgwyliadau a Dymuniadau Gwrthrych Data mewn perthynas â Data Gwaith Cymdeithasol (Atodlen 3, Paragraff 10)
Esemptiad yn ymwneud â chais am ddata gwaith cymdeithasol mewn sefyllfaoedd penodol pan fydd gwrthrych y data’n iau na 18 oed ac mae gan y ceisiwr gyfrifoldeb rhiant neu lle nad yw gwrthrych y data’n gallu rheoli ei faterion ei hun ac ni fyddai ymateb i’r cais yn cydymffurfio â dymuniadau gwrthrych y data.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Niwed Difrifol o ganlyniad i Ddatgelu Data Gwaith Cymdeithasol (Atodlen 3, Paragraff 11)
Esemptiad o Erthygl 15 (1) a (3) y GDPR y DU pan fodlonir y prawf niwed difrifol.
- Erthygl 15: Cais gwrthrych am wybodaeth
* Mae’r Prawf Niwed Difrifol yn golygu ystyried p’un a fyddai cymhwyso Erthygl 15 Hawl i Fynediad at y data o dan y GDPR y DU yn debygol o achosi niwed difrifol i iechyd corfforol neu feddyliol gwrthrych y data neu unigolyn arall.
Data Addysg a Brosesir gan Lys (Atodlen 3, Paragraff 18)
Esemptiad os yw data personol sy’n ymwneud ag addysg yn cael ei brosesu gan Lys.
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 19: Hysbysu ynglŷn â chywiro, dileu neu gyfyngu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Niwed Difrifol o ganlyniad i Ddatgelu Data Addysg (Atodlen 3, Paragraff 19)
Esemptiad o Erthygl 15 (1) a (3) y GDPR pan fodlonir y prawf niwed difrifol.
- Erthygl 15: Cais gwrthrych am wybodaeth
* Mae’r Prawf Niwed Difrifol yn golygu ystyried p’un a fyddai cymhwyso Erthygl 15 Hawl i Fynediad at y data o dan y GDPR y DU yn debygol o achosi niwed difrifol i iechyd corfforol neu feddyliol gwrthrych y data neu unigolyn arall.
Data Cam-drin Plant (Atodlen 3, Paragraff 21)
Esemptiad o Erthygl 15 (1) a (3) pe na byddai cais am ddata cam-drin plant er budd pennaf gwrthrych y data sy’n iau na 18 oed ac mae gan y ceisiwr gyfrifoldeb rhiant neu lle nad yw gwrthrych y data’n gallu rheoli ei faterion ei hun ac mae’r ceisiwr wedi cael ei benodi gan lys i reoli’r materion hynny.
- Erthygl 15: Cais gwrthrych am wybodaeth
Dibenion Newyddiadurol, Academaidd, Artistig a Llenyddol (Atodlen 2, Paragraff 24)
Esemptiad o rai o ddarpariaethau’r GDPR y DU os yw’r data personol yn cael ei brosesu at ddibenion arbennig gyda’r bwriad o’i gyhoeddi gan unigolyn mewn deunydd newyddiadurol, academaidd, artistig a llenyddol er budd y cyhoedd. (Mae hyn hefyd wedi’i eithrio o Erthyglau 60-67.)
- Erthygl 5: yr Egwyddorion
- Erthygl 13: Tryloywder gwybodaeth pan gesglir data personol yn uniongyrchol
- Erthygl 14: Tryloywder gwybodaeth pan na chesglir data personol yn uniongyrchol
- Erthygl 15: Cais gwrthrych am wybodaeth
- Erthygl 16: Yr hawl i gywiro
- Erthygl 17: Yr hawl i ddileu
- Erthygl 18: Yr hawl i gywiro prosesu
- Erthygl 19: Hysbysu ynglŷn â chywiro, dileu neu gyfyngu
- Erthygl 20: Yr hawl i gludadwyedd data
- Erthygl 21: Yr hawl i wrthwynebu
Arall
Esemptiad o rai o ddarpariaethau’r GDPR y DU os yw data personol yn cael ei brosesu at y dibenion canlynol, pan ddatgelir gwybodaeth am:
- Ffrwythloniad dynol ac embryoleg (Atodlen 4, Paragraff 2);
- Cofnodion ac adroddiadau mabwysiadu (Atodlen 4, Paragraff 3);
- Datganiadau o anghenion addysgol arbennig (Atodlen 4, Paragraff 4);
- Cofnodion ac adroddiadau gorchymyn rhiant (Atodlen 4, Paragraff 5);
- Gwybodaeth a ddarparwyd gan y Prif Adroddwr ar gyfer gwrandawiad plant (Atodlen 4, Paragraff 6).
- Erthygl 5: yr Egwyddorion
- Erthygl 15: Cais gwrthrych am wybodaeth
Mae esemptiadau ychwanegol ar gael ar gyfer yr amgylchiadau penodol canlynol:
- Wrth asesu addasrwydd unigolyn am swydd farnwrol neu swydd Cwnsler y Frenhines;
- Wrth asesu addasrwydd unigolyn am swyddi fel Bardd y Brenin;
- Mewn cysylltiad â gwasanaeth cyllid corfforaethol sy’n ymwneud â gwybodaeth sy’n sensitif o ran pris;
- Rhagolygon rheoli neu gynllunio mewn perthynas â busnes neu weithgarwch arall;
- Unrhyw drafodaethau â gwrthrych y data a lle y byddai hyn yn debygol o beryglu’r trafodaethau hynny.