Polisi Diogelu Data

Llywodraethu

Y Tîm Llywodraethu Gwybodaeth

I ddangos ein hymrwymiad i Ddiogelu Data ac i wella effeithiolrwydd ein hymdrechion cydymffurfio, mae Cyngor Sir Penfro wedi sefydlu Tîm Llywodraethu Gwybodaeth o fewn y Gwasanaeth Archwilio, Risg a Gwybodaeth, sy’n gweithredu’n annibynnol ar wasanaethau a swyddogaethau cymorth eraill y Cyngor. 

Rôl y Swyddog Diogelu Data yw ymgymryd â’r tasgau canlynol yn uniongyrchol neu drwy’r Tîm Llywodraethu Gwybodaeth:

  1. Hysbysu a chynghori Cyngor Sir Penfro a’i gyflogeion sy’n ymgymryd â Phrosesu yn unol â Rheoliadau Diogelu Data, Cyfraith Genedlaethol neu Ddarpariaethau Diogelu Data yr Undeb;
  2. Sicrhau bod y polisi hwn yn cyd-fynd â Rheoliadau Diogelu Data, Cyfraith Genedlaethol neu Ddarpariaethau Diogelu Data yr Undeb;
  3. Rhoi arweiniad ynglŷn â chynnal Asesiadau o’r Effaith ar Ddiogelu Data a monitro perfformiad;
  4. Gweithredu fel pwynt cyswllt ar gyfer Swyddfa’r Comisiynydd Gwybodaeth (ICO) a chydweithredu â hi;
  5. Penderfynu ar yr angen i hysbysu Swyddfa’r Comisiynydd Gwybodaeth (ICO) o ganlyniad i weithgareddau Prosesu Data Personol cyfredol neu fwriadedig Cyngor Sir Penfro;
  6. Rhoi sylw dyladwy i’r risg sy’n gysylltiedig â gweithrediadau prosesu, gan ystyried natur, cwmpas, cyd-destun a dibenion prosesu;
  7. Sefydlu a gweithredu system sy’n darparu ymatebion prydlon a phriodol i geisiadau gan Wrthrychau Data;
  8. Rhoi gwybod i Uwch Reolwyr, Aelodau a Swyddogion am unrhyw gosbau corfforaethol, sifil a throseddol posibl a allai gael eu rhoi i Gyngor Sir Penfro a/neu ei Gyflogeion neu Aelodau am dorri deddfau Diogelu Data perthnasol;
  9. Gwneud yn siŵr bod gweithdrefnau a darpariaethau cytundebol safonol ar waith i sicrhau cydymffurfiaeth â’r Polisi hwn gan unrhyw Drydydd Parti sy’n:
  • Darparu Data Personol i Gyngor Sir Penfro
  • Derbyn Data Personol gan Gyngor Sir Penfro
  • Cael mynediad at Ddata Personol a gesglir neu a reolir gan Gyngor Sir Penfro.

Lledaenu a Gorfodi’r Polisi

Mae’n rhaid i Dîm Rheoli Corfforaethol Cyngor Sir Penfro a SLT ar ein cyfer rhaid sicrhau bod holl Weithwyr, Aelodau a Llywodraethwyr Cyngor Sir Penfro yn gyfrifol am Brosesu Data Personol yn ymwybodol o gynnwys y polisi hwn ac yn cydymffurfio â hwy.

Rhaid i'n hysgol ni i Uwch Reolwyr sicrhau bod pob Trydydd Parti a gyflogir, naill ai trwy gytundeb neu’n wirfoddol, i brosesu data personol ar ran ein hysgol (h.y. Prosesyddion Data) yn ymwybodol o gynnwys y polisi hwn ac yn cydymffurfio ag ef.  Mae’n rhaid cael sicrwydd a thystiolaeth o gydymffurfiaeth o’r fath gan bob Trydydd Parti (gan gynnwys ymweliad safle), p’un a yw’n gwmni neu’n unigolyn, cyn caniatáu iddo gael mynediad at Ddata Personol a reolir gan ein hysgol.

Hyfforddiant Diogelu Data

Bydd rhaid i holl gyflogeion Cyngor Sir Penfro ddilyn Hyfforddiant Diogelu Data yn rhan o’u cyfnod sefydlu ac yn rhan o hyfforddiant a datblygiad parhaus yn y gweithle.  Mae’n rhaid dilyn yr hyfforddiant e-Ddysgu bob blwyddyn (yn seiliedig ar ddisgwyliadau’r ICO).  Cyfrifoldeb Rheolwyr yr ysgol yw hi yn gyfrifol am sicrhau bod eu staff wedi dilyn yr hyfforddiant, yn deall eu cyfrifoldebau ac yn cydymffurfio â’r Polisi Diogelu Data, y Polisi Diogelwch TG a’r arweiniad Gweithdrefnol ategol.

Bydd Perchenogion Asedau Gwybodaeth/Penaethiaid yn cael hyfforddiant ychwanegol ar eu cyfrifoldebau i sicrhau cydymffurfiaeth barhaus â gofynion Diogelu Data.

Diogelu Data trwy Ddyluniad

Er mwyn sicrhau bod yr holl ofynion Diogelu Data yn cael eu hamlygu ac yn derbyn sylw wrth i systemau neu brosesau newydd gael eu dylunio a/neu wrth i systemau neu brosesau presennol gael eu hadolygu neu eu hymestyn, dylid rhoi gwybod i’r Swyddog Diogelu Data am y broses a bydd angen iddo ei chymeradwyo cyn i’r newid gael ei weithredu.  Mae’n rhaid ceisio cyfranogiad y Swyddog Diogelu Data o’r cychwyn cyntaf.

Yn rhan o’r broses hon, mae’n rhaid cynnal Asesiad o’r Effaith ar Ddiogelu Data (DPIA); bydd y Tîm Llywodraethu Gwybodaeth yn gallu helpu gyda hyn.  Yna, mae’n rhaid cyflwyno canfyddiadau’r DPIA i’r Swyddog Diogelu Data i’w hadolygu a’u cymeradwyo.  Bydd yr adran TG yn gweithio’n agos gyda’r Tîm Llywodraethu Gwybodaeth i asesu effaith unrhyw ddefnyddiau technoleg newydd ar ddiogelwch Data Personol.

Monitro Cydymffurfiaeth

I gadarnhau cydymffurfiaeth â’r polisi hwn a gofynion Deddf Diogelu Data 2018 a deddfwriaeth Diogelu Data arall, bydd y Tîm Llywodraethu Gwybodaeth yn cynnal archwiliadau cydymffurfio blynyddol yn seiliedig ar risg ar draws ein hysgol.  Bydd y rhaglen flynyddol o archwiliadau cydymffurfio’n cael ei llywio gan y sgôr risg ar y Gofrestr Asedau Gwybodaeth ac yn cael ei chymeradwyo gan y Swyddog Diogelu Data.  Bydd pob archwiliad cydymffurfiaeth yn asesu’r canlynol, o leiaf:

  • Cydymffurfiaeth â’r Polisi o ran diogelu Data Personol, gan gynnwys:
    • Neilltuo cyfrifoldebau
    • Cynyddu ymwybyddiaeth
    • Hyfforddi cyflogeion
  • Effeithiolrwydd arferion gweithredol sy’n ymwneud â Diogelu Data, gan gynnwys:
    • Diogelwch
    • Hawliau Gwrthrych Data
    • Trosglwyddo Data Personol
    • Rheoli digwyddiadau Data Personol
    • Ymdrin â chwynion Data Personol
  • Lefel y ddealltwriaeth o bolisïau Diogelu Data a Hysbysiadau Preifatrwydd
  • Cywirdeb Data Personol sy’n cael ei storio
  • Trefniadau monitro gweithgareddau Prosesyddion Data
  • Digonolrwydd gweithdrefnau ar gyfer cywiro cydymffurfiaeth wael a Mynediad Diawdurdod at Ddata Personol.

Bydd y Tîm Llywodraethu Gwybodaeth, mewn cydweithrediad â ein hysgol, yn llunio cynllun gweithredu ar gyfer cywiro unrhyw ddiffygion a amlygwyd o fewn graddfa amser ddiffiniedig a rhesymol.  Bydd hyn yn cael ei fonitro trwy’r system awtomataidd MKI.  Bydd diffygion mawr a amlygwyd a diffyg cydymffurfio â graddfeydd amser y cytunwyd arnynt yn cael eu hadrodd i’r Pennaeth a Chorff Llywodraethol.

Adrodd am Fynediad Diawdurdod

Mae mynediad diawdurdod at ddata yn achos o danseilio diogelwch sy’n arwain at ddinistrio, colli neu newid data personol, neu ei ddatgelu neu gael mynediad ato heb awdurdod, a hynny’n ddamweiniol neu’n anghyfreithlon.  Mae digwyddiad data yn achos o danseilio diogelwch a allai fod wedi arwain at un o’r uchod, ond na arweiniodd ato mewn gwirionedd.

Mae’n rhaid rhoi gwybod i’r Swyddog Diogelu Data ar unwaith am bob achos o fynediad diawdurdod at ddata trwy’r Tîm Llywodraethu Gwybodaeth.  Mae ffurflen ar-lein ar gael ar y mewnrwyd,i hwyluso’r broses hon; dylech ei llenwi gyda chymaint o wybodaeth â phosibl a’i hanfon trwy e-bost at dataprotection@pembrokeshire.gov.uk.  Mae’r Swyddog Diogelu Data yn gyfrifol am asesu achosion o fynediad diawdurdod at ddata a gwneud penderfyniad ynglŷn â rhoi gwybod i Swyddfa’r Comisiynydd Gwybodaeth (ICO).  O dan y GDPR y DU, mae’n rhaid i achosion adroddadwy o fynediad diawdurdod at ddata gael eu hadrodd i’r ICO o fewn 72 awr o’r adeg y daw’r Cyngor yn ymwybodol bod y mynediad diawdurdod wedi digwydd.  Bydd y Swyddog Diogelu Data yn cynnal asesiad risg i benderfynu a yw’r mynediad diawdurdod yn adroddadwy.  Bydd hyn yn cynnwys cynnal ymchwiliadau rhagarweiniol i amgylchiadau’r mynediad diawdurdod, felly mae’n hanfodol bod y Swyddog Diogelu Data yn cael gwybod ar unwaith trwy’r Tîm Llywodraethu Gwybodaeth.  Gallai methiant i roi gwybod i’r ICO am achos adroddadwy o fynediad diawdurdod o fewn 72 awr o’r adeg y daw’r Cyngor yn ymwybodol ohono arwain at ddirwy sylweddol, yn ogystal â dirwy am y mynediad diawdurdod ei hun.

Rhowch wybod i’r Tîm Llywodraethu Gwybodaeth am unrhyw ddigwyddiadau data.  Mae hyn yn ddefnyddiol iawn fel y gallwn fesur ein risg a dysgu oddi wrth ddigwyddiadau o’r fath a chryfhau ein trefniadau diogelwch ymhellach.

Cwynion

Mae’r Cyngor wedi ymrwymo i ddarparu’r safonau uchaf o uniondeb a diogelwch o ran y data personol y mae’n ei brosesu.  Fodd bynnag, os ydych chi’n anfodlon â’r ffordd y proseswyd eich data personol neu y cymhwyswyd eich hawliau o dan ddeddfwriaeth Diogelu Data, cyfeiriwch eich pryderon at y:

Swyddog Diogelu Data

Cyngor Sir Penfro

Neuadd y Sir

Hwlffordd

Sir Benfro

SA61 1TP

E-bost: DataProtection@pembrokeshire.gov.uk

Mae Swyddfa’r Comisiynydd Gwybodaeth wedi datblygu llythyr enghreifftiol (yn agor mewn tab newydd) i’ch helpu i godi’ch pryderon.

Ceisiwn ymateb i’ch pryderon o fewn un mis calendr o’u derbyn.

 

Os byddwch yn parhau i fod yn anfodlon â’r ffordd rydym yn rheoli eich data personol neu’n cymhwyso eich hawliau o dan ddeddfwriaeth Diogelu Data, cewch gysylltu â Swyddfa’r Comisiynydd Gwybodaeth (yn agor mewn tab newydd), neu ysgrifennwch at:

Swyddfa’r Comisiynydd Gwybodaeth / The Information Comissioner’s Office

Wycliffe House

Water Lane

Wilmslow

Swydd Gaerlleon / Cheshire

SK9 5AF


 

ID: 9847, adolygwyd 09/11/2023