Polisi Diogelu Data

Teitl y Polisi

Polisi Diogelu Data

Corff Cymeradwyo

Grŵp Gweithredol y Brifysgol

Dyddiad Cymeradwyo

15/05/18

Perchennog y Polisi

Rheolwr Diogelu Data a Hawlfraint

Dyddiad Adolygu

Ebril 2022

1. Pwrpas y Polisi

Pwrpas y polisi hwn yw sicrhau bod y Brifysgol a’i staff a’i myfyrwyr yn cydymffurfio â darpariaethau’r Ddeddf Diogelu Data, a’r Rheoliad Diogelu Data Cyffredinol a ddaw i rym o fis Medi 2018, ac unrhyw ddeddfwriaeth berthnasol arall mewn awdurdodaethau y mae’r Brifysgol yn gweithredu ynddynt wrth brosesu data personol. Mae’r Brifysgol yn cymryd ei chyfrifoldebau ynglŷn â rheoli gofynion deddfwriaeth Diogelu Data o ddifrif, a gall torri’r rheolau fod yn achos disgyblaeth. 

Yn y ddogfen hon fe geir fframwaith polisi ar gyfer cyflawni ac archwilio cydymffurfiaeth effeithiol.

 2. Cwmpas / Perthnasedd

Mae’r polisi hwn yn berthnasol i staff, myfyrwyr, asiantwyr y Brifysgol a phroseswyr awdurdodedig data personol sy’n eiddo i’r Brifysgol neu’n cael ei gadw ganddi, waeth ble y cedwir y data ac, o ran data sy’n cael ei brosesu’n awtomatig, berchenogaeth yr offer a ddefnyddir, os yw’r prosesu ar gyfer dibenion y Brifysgol. Mae’r polisi hwn hefyd yn berthnasol i ddata personol sy’n cael ei gadw a’i brosesu gan Undeb Myfyrwyr Prifysgol Aberystwyth.

Y mae ar y Brifysgol angen prosesu data am ei gweithwyr, ei myfyrwyr, ac unigolion eraill: er enghraifft, er mwyn monitro perfformiad, cyflawniadau, a iechyd a diogelwch, ac i recriwtio a thalu staff, trefnu cyrsiau a chyflawni gofynion cyfreithiol (e.e. i gyrff cyllido a’r llywodraeth). Rhaid casglu data o’r fath a’i defnyddio’n deg, ei storio’n ddiogel, a pheidio â’i datgelu’n anghyfreithlon.

Rhaid i’r Brifysgol gydymffurfio â’r egwyddorion diogelu data a amlinellir yn y Ddeddf. Yn unol â’r egwyddorion hynny bydd data personol:

  1. Yn cael ei brosesu yn deg a chyfreithlon ac mewn modd tryloyw
  2. Yn cael ei brosesu i bwrpas penodol a dilys
  3. Yn addas, yn berthnasol, ac nid yn ormodol i’w bwrpas
  4. Yn gywir ac yn cael ei ddiweddaru’n gyson
  5. Yn cael ei gadw am y cyfnod sydd ei angen, ac nid am gyfnod hwy na hynny
  6. Yn cael ei brosesu mewn modd sy’n sicrhau bod y data personol yn cael ei gadw’n ddiogel

Bydd data personol hefyd yn cael ei brosesu mewn modd sy’n parchu hawliau gwrthrych data, a gellir dim ond ei drosglwyddo y tu allan i’r UE yn unol â’r amodau trosglwyddo a amlinellir yn y ddeddfwriaeth.

Mae’r Brifysgol hefyd yn nodi ei bod yn ofynnol iddi gydymffurfio â’r darpariaethau hynny a amlinellir yn y Rheoliad Diogelu Data Cyffredinol sy’n ymwneud ag egwyddor ‘atebolrwydd’.

 3. Cyfrifoldeb

3.1  Cyfrifoldebau'r Brifysgol

Y mae’r Brifysgol yn rheolwr data yn unol â deddfwriaeth diogelu data y DU a deddfwriaeth gyfatebol mewn awdurdodaethau eraill ac mae’n cydnabod yn llwyr ei chyfrifoldebau ar gyfer sefydlu polisïau a gweithdrefnau er mwyn cydymffurfio â’r gofynion perthnasol.

3.1.1  Pwyllgor y Brifysgol

Grŵp Gweithredol y Brifysgol sy’n gyfrifol yn y pen draw am gymeradwyo a goruchwylio gweithrediad y Polisi hwn.

3.1.2  Swyddog Diogelu Data'r Brifysgol

Bydd y Brifysgol yn enwebu unigolyn priodol yn Swyddog Diogelu Data’r Brifysgol; bydd yr unigolyn hwn yn aelod o staff uwch y Brifysgol a bydd ganddo wybodaeth ddigonol.

Bydd y Brifysgol yn sicrhau bod enw Swyddog Diogelu Data’r Brifysgol yn hysbys i’r holl staff, myfyrwyr, contractwyr a gwirfoddolwyr a bydd hefyd yn tynnu eu sylw at y Polisi hwn a’r dogfennau cysylltiedig. Y Swyddog Diogelu Data sy’n gyfrifol am lunio canllawiau a hyrwyddo cydymffurfiaeth â’r polisi hwn.

Mae gan y Swyddog Diogelu Data fynediad at yr holl ddogfennau sy’n ymwneud â cheisiadau cydymffurfiaeth gyfreithiol yn unol â deddfwriaeth Diogelu Data a’r Swyddog Diogelu Data (trwy ymgynghori, lle bydd angen, â’r uwch-swyddogion perthnasol) fydd yn penderfynu ynglŷn â’r wybodaeth fydd yn cael ei rhyddhau neu ei heithrio.

Y Swyddog Diogelu Data yw’r Rheolwr Diogelu Data a Hawlfraint ar hyn o bryd. 

 3.2 Cyfrifoldebau Penaethiaid yr Unedau Academaidd a’r Adrannau Gwasanaeth Canolog

Mae Penaethiaid unedau academaidd a Phenaethiaid Gwasanaethau Canolog yn gyfrifol am sicrhau cydymffurfiaeth â’r ddeddf diogelu data a deddfwriaeth berthnasol arall ac am sicrhau bod gofynion y Polisi hwn yn cael eu bodloni.

Rhaid i Benaethiaid unedau academaidd a Phenaethiaid Gwasanaethau Canolog sicrhau bod pob aelod staff newydd yn derbyn cyflwyniad rhagarweiniol priodol ar y ddeddf diogelu data a deddfwriaeth berthnasol arall a bod aelodau staff y maent yn gyfrifol amdanynt yn derbyn cyrsiau diweddaru ar gydymffurfio â Diogelu Data.

Gall Penaethiaid unedau academaidd a Phenaethiaid Gwasanaethau Canolog ddewis dirprwyo rheoli materion Diogelu Data i aelod priodol o’r staff uwch; ni ellir, fodd bynnag, dirprwyo’r cyfrifoldeb.

Bydd y Swyddog Diogelu Data yn cynnal archwiliadau cyfnodol i sicrhau cydymffurfiaeth â’r Polisi hwn a’r ddeddfwriaeth berthnasol.

3.3 Cyfrifoldebau Staff

3.3.1  Mae’n amod cyflogaeth fod gweithwyr yn cadw at reolau a pholisïau’r Brifysgol. Gallai unrhyw achos lle methir â chadw at y Polisi hwn felly fod yn achos disgyblaeth.

3.3.2  Os bydd staff yn defnyddio gwybodaeth bersonol am fyfyrwyr, aelodau staff eraill, neu unigolion eraill, rhaid iddynt gydymffurfio â gofynion y Polisi hwn.

3.3.3 Rhaid i’r staff sicrhau:

  • bod unrhyw wybodaeth bersonol am bobl eraill sydd yn eu meddiant yn cael ei dal yn ddiogel drwy gydol eu cyflogaeth;
  • nad yw unrhyw wybodaeth bersonol am bobl eraill yn cael ei datgelu ar lafar nac yn ysgrifenedig, trwy ddamwain neu fel arall i drydydd parti anawdurdodedig.
  • nad yw gwybodaeth bersonol yn cael ei defnyddio gan staff am unrhyw reswm arall heblaw busnes cyfreithlon y Brifysgol
  • bod unrhyw wybodaeth y maent yn ei darparu i’r Brifysgol am eu cyflogaeth yn gywir ac wedi ei diweddaru a’u bod yn rhoi gwybod i’r Brifysgol am unrhyw newidiadau, e.e. newid cyfeiriad.

3.3.4  Lle bydd aelodau staff yn gyfrifol am oruchwylio myfyrwyr sy’n cyflawni gwaith sy’n cynnwys prosesu gwybodaeth bersonol (e.e. mewn prosiectau ymchwil), rhaid iddynt sicrhau bod y myfyrwyr hynny yn ymwybodol o’r egwyddorion diogelu data a nodir ym mhwynt 2 uchod ac, yn arbennig, o’r angen i sicrhau caniatâd gwrthrych y data lle bo hynny’n briodol.

Dylai staff sy’n ansicr o bwy yw’r trydydd partïon awdurdodedig y gallant ddatgelu data personol iddynt yn gyfreithiol holi am gyngor gan eu rheolwyr llinell neu’r Rheolwr Diogelu Data a Hawlfraint.

3.4 Contractwyr, Staff Achlysurol a Gwirfoddolwyr

Rhaid i Benaethiaid unedau academaidd a Phenaethiaid Gwasanaethau Canolog sy’n cyflogi contractwyr, staff achlysurol neu wirfoddolwyr sicrhau eu bod yn ymwybodol o’u dyletswyddau yn unol â’r ddeddfwriaeth a gofynion y Polisi hwn.

4. Polisi Manwl

4.1 Ceisiadau Gwrthrych am Ddata

Rhaid i’r Brifysgol ganiatáu i unigolion sy’n dymuno gweld y data personol sydd gan y Brifysgol amdanynt trwy Gais Gwrthrych am Ddata. Dylai unigolion sy’n dymuno gwneud hynny anfon gair ysgrifenedig at y Rheolwr Diogelu Data a Hawlfraint. Mae ffurflen safonol ar gael ar dudalennau gwe Cydymffurfiaeth Gwybodaeth y Brifysgol: https://www.aber.ac.uk/cy/infocompliance/dp/ .

Nod y Brifysgol yw cydymffurfio â cheisiadau am fynediad at wybodaeth bersonol cyn gynted â phosibl, ond fe fydd yn sicrhau y bydd yn cael ei darparu o fewn i’r terfyn 30 diwrnod a osodir gan y Rheoliad Diogelu Data Cyffredinol (GDPR) ac o fewn y terfynau amser perthnasol a osodir gan awdurdodaethau eraill.

Ni fydd gan unigolion yr hawl i weld gwybodaeth y mae eithriadau yn perthyn iddi. Fodd bynnag, y darnau penodol o wybodaeth y mae’r eithriad yn berthnasol iddynt yn unig fydd yn cael eu cadw’n ôl, a bydd gwybodaeth y mae eithriad yn perthyn iddi yn cael ei hadolygu gan y Rheolwr Diogelu Data a Hawlfraint.

4.2 Caniatâd i brosesu

Mewn rhai achosion, mae angen i’r Brifysgol brosesu peth gwybodaeth sydd, yn ôl y diffiniad a nodir yn y Rheoliad Diogelu Data Cyffredinol, yn cael ei ddosbarthu’n sensitif. Mae’n bosibl fod angen y cyfryw wybodaeth i sicrhau diogelwch, i gydymffurfio â gofynion y llywodraeth neu gyrff cyllido, i gynnig cymorth i staff neu fyfyrwyr, neu weithredu polisïau’r sefydliad. Yn rhai o’r achosion hyn, efallai y bydd angen i’r Brifysgol ofyn am ganiatâd penodol.

4.3  Gwybodaeth a gesglir gan wefan y Brifysgol:

Mae’r wybodaeth a gesglir ar wefan Prifysgol Aberystwyth yn eiddo i Brifysgol Aberystwyth (gan gynnwys unrhyw is-gwmnïau). Ni fydd y Brifysgol yn gwerthu, rhannu nac yn rhentu’r wybodaeth yma i eraill mewn ffyrdd sy’n wahanol i’r hyn a nodir ar wefan y Brifysgol neu mewn cytundeb blaenorol.

4.4 Tanseilio Diogelwch Data

Dylid hysbysu’r Rheolwr Diogelu Data a Hawlfraint cyn gynted â phosibl (ac, mewn unrhyw achos, o fewn 24 awr) o unrhyw achos o dorri’r Ddeddf Diogelu Data neu ddeddfwriaeth gyfatebol arall neu ofynion y Polisi hwn.

Ymdrinnir ag achosion o amheuaeth o dorri’r deddf yn unol â Gweithdrefnau’r Brifysgol ar gyfer Amheuaeth o Danseilio Diogelu Data.

4.5  Rhannu data â thrydydd parti

Bydd rhannu data personol yn cydymffurfio â’r manylion a amlinellir yng nghytundebau staff a’r Datganiad Diogelu Data i staff a myfyrwyr.

Dylai staff, myfyrwyr ac eraill y gall fod data personol amdanynt yn cael ei gadw gan y sefydliad, nodi fod gan y Brifysgol ddyletswydd yn unol â Deddf Gwrthderfysgaeth a Diogelwch 2015 i roi sylw dyledus i’r angen i rwystro pobl rhag cael eu denu at derfysgaeth, ac y gall y ddyletswydd hon olygu trosglwyddo gwybodaeth i’r heddlu / gwasanaethau diogelwch.

5.  Deddfwriaeth, Codau Ymarfer a Safonau Diwydiant Perthnasol

Rheoliadau Diogelu Data Cyffredinol

Deddf Diogelu Data 2018

Deddf Diogelu Data (Mawrisiws) 2004

Deddf Gwrthderfysgaeth a Diogelwch 2015

Deddf Rhyddid Gwybodaeth 2000

Deddf Cyfyngiadau 1980

‘Cod Ymarfer Cyflogaeth’ y Comisiynydd Gwybodaeth

6. Polisïau a Gweithdrefnau Perthnasol

Mae polisïau perthnasol y Brifysgol yn cynnwys, ond heb fod wedi eu cyfyngu i’r isod:

Polisi Rheoli Cofnodion

Polisi Rhyddid Gwybodaeth

Polisi Diogelwch Gwybodaeth

Gweithdrefnau ar gyfer Amheuaeth o Danseilio Diogelu Data

Canllawiau i staff ynglŷn â rhannu gwybodaeth gyfrinachol myfyrwyr