top of page

Polisi - Polisi Diogelu Data GDPR

 

Rhaid i chi ddarllen y polisi hwn oherwydd ei fod yn rhoi gwybodaeth bwysig am:

 

  • yr egwyddorion diogelu data y mae'n rhaid i'r Cwmni gydymffurfio â hwy;

  • beth yw ystyr gwybodaeth bersonol (neu ddata) a gwybodaeth (neu ddata) personol sensitif;

  • sut rydym yn casglu, defnyddio ac (yn y pen draw) yn dileu gwybodaeth bersonol a gwybodaeth bersonol sensitif yn unol ag egwyddorion diogelu data;

  • lle gellir dod o hyd i wybodaeth breifatrwydd manylach, ee am y wybodaeth bersonol a gasglwn ac a ddefnyddiwn amdanoch, sut y caiff ei defnyddio, ei storio a'i throsglwyddo, at ba ddibenion, y camau a gymerwyd i gadw'r wybodaeth honno'n ddiogel ac am ba mor hir y caiff ei chadw;

  • eich hawliau a'ch rhwymedigaethau mewn perthynas â diogelu data; a

  • canlyniadau methu â chydymffurfio â’r polisi hwn.

 

  1. Rhagymadrodd

 

  1. Mae’r Cwmni yn cael, yn cadw ac yn defnyddio gwybodaeth bersonol (y cyfeirir ato hefyd fel data) am ymgeiswyr am swyddi ac am gyflogeion presennol a blaenorol, gweithwyr dros dro ac asiantaeth, contractwyr, interniaid, gwirfoddolwyr a phrentisiaid at nifer o ddibenion cyfreithlon penodol, fel y nodir yn y ddogfen. Hysbysiadau Preifatrwydd Diogelu Data Cwmni sy'n ymwneud â recriwtio a chyflogaeth.

 

  1. Mae’r polisi hwn yn nodi sut rydym yn cydymffurfio â’n rhwymedigaethau diogelu data ac yn ceisio diogelu gwybodaeth bersonol sy’n ymwneud â’n gweithlu. Ei ddiben hefyd yw sicrhau bod staff yn deall ac yn cydymffurfio â’r rheolau sy’n llywodraethu casglu, defnyddio a dileu gwybodaeth bersonol y gallant gael mynediad iddi yn ystod eu gwaith.

 

  1. Rydym wedi ymrwymo i gydymffurfio â’n rhwymedigaethau diogelu data, ac i fod yn gryno, yn glir ac yn dryloyw ynghylch sut rydym yn cael ac yn defnyddio gwybodaeth bersonol sy’n ymwneud â’n gweithlu, a sut (a phryd) yr ydym yn dileu’r wybodaeth honno pan na fydd ei hangen mwyach.

 

  1. Swyddog Diogelu Data'r Cwmni sy'n gyfrifol am hysbysu a chynghori'r Cwmni a'i staff ar ei rwymedigaethau diogelu data, ac am fonitro cydymffurfiaeth â'r rhwymedigaethau hynny ac â pholisïau'r Cwmni. Os oes gennych unrhyw gwestiynau neu sylwadau am gynnwys y polisi hwn neu os oes angen rhagor o wybodaeth arnoch, dylech gysylltu â’r Swyddog Diogelu Data drwy e-bost:dpo@confirmsend.co.

 

  1. Cwmpas

 

  1. Mae'r polisi hwn yn berthnasol i wybodaeth bersonol ymgeiswyr am swyddi a staff presennol a blaenorol, gan gynnwys gweithwyr cyflogedig, gweithwyr dros dro a gweithwyr asiantaeth, interniaid, gwirfoddolwyr a phrentisiaid.

 

  1. Dylai staff gyfeirio at Hysbysiad Preifatrwydd Diogelu Data’r Cwmni a, lle bo’n briodol, at ei bolisïau perthnasol eraill gan gynnwys mewn perthynas â’r rhyngrwyd, e-bost a chyfathrebu, monitro, cyfryngau cymdeithasol, diogelwch gwybodaeth, cadw data a gwybodaeth cofnodion troseddol, sy’n cynnwys gwybodaeth bellach ynghylch diogelu gwybodaeth bersonol yn y cyd-destunau hynny.

 

  1. Byddwn yn adolygu ac yn diweddaru’r polisi hwn yn rheolaidd yn unol â’n rhwymedigaethau diogelu data. Nid yw'n rhan o gontract cyflogaeth unrhyw weithiwr a gallwn ei ddiwygio, ei ddiweddaru neu ychwanegu ato o bryd i'w gilydd. Byddwn yn dosbarthu unrhyw bolisi newydd neu ddiwygiedig i staff cyn iddo gael ei fabwysiadu.

 

  1. Diffiniadau

 

  1. Gwybodaeth Cofnodion Troseddol

yn golygu gwybodaeth bersonol yn ymwneud ag euogfarnau troseddol a throseddau, honiadau, achosion, a mesurau diogelwch cysylltiedig;

 

  1. Torri Data

yn golygu toriad diogelwch sy’n arwain at ddinistrio, colli, newid, datgelu gwybodaeth bersonol heb awdurdod neu fynediad at wybodaeth bersonol yn ddamweiniol neu’n anghyfreithlon;

 

  1. Gwrthrych y Data

yw'r unigolyn y mae'r wybodaeth bersonol yn ymwneud ag ef;

 

  1. Gwybodaeth personol

(a elwir weithiau yn ddata personol) yn golygu gwybodaeth sy’n ymwneud ag unigolyn y gellir ei adnabod (yn uniongyrchol neu’n anuniongyrchol) o’r wybodaeth honno;

 

  1. Prosesu Gwybodaeth

yn golygu cael, cofnodi, trefnu, storio, diwygio, adalw, datgelu a/neu ddinistrio gwybodaeth, neu ddefnyddio neu wneud unrhyw beth ag ef;

 

  1. Ffugenw

yn golygu’r broses a ddefnyddir i brosesu gwybodaeth bersonol yn y fath fodd fel na ellir ei defnyddio i adnabod unigolyn heb ddefnyddio gwybodaeth ychwanegol, a gedwir ar wahân ac sy’n destun mesurau technegol a threfniadol i sicrhau na ellir priodoli’r wybodaeth bersonol i unigolyn adnabyddadwy;

 

  1. Gwybodaeth Bersonol Sensitif

(a elwir weithiau yn ‘gategorïau arbennig o ddata personol’ neu ‘ddata personol sensitif’) yn golygu gwybodaeth bersonol am hil, tarddiad ethnig, barn wleidyddol, credoau crefyddol neu athronyddol, aelodaeth o undeb llafur (neu ddiffyg aelodaeth), gwybodaeth am eneteg, gwybodaeth fiometrig (lle caiff ei defnyddio i adnabod unigolyn) a gwybodaeth am iechyd, bywyd rhywiol neu gyfeiriadedd rhywiol unigolyn.

 

  1. Egwyddorion Diogelu Data

 

  1. Bydd y Cwmni yn cydymffurfio â’r egwyddorion diogelu data canlynol wrth brosesu gwybodaeth bersonol:

 

  1. byddwn yn prosesu gwybodaeth bersonol yn gyfreithlon, yn deg ac mewn modd tryloyw;

 

  1. byddwn yn casglu gwybodaeth bersonol at ddibenion penodol, penodol a chyfreithlon yn unig, ac ni fyddwn yn ei phrosesu mewn ffordd sy’n anghydnaws â’r dibenion cyfreithlon hynny;

 

  1. byddwn ond yn prosesu’r wybodaeth bersonol sy’n ddigonol, yn berthnasol ac yn angenrheidiol at y dibenion perthnasol;

 

  1. byddwn yn cadw gwybodaeth bersonol gywir a chyfredol, ac yn cymryd camau rhesymol i sicrhau bod gwybodaeth bersonol anghywir yn cael ei dileu neu ei chywiro yn ddi-oed;

 

  1. byddwn yn cadw gwybodaeth bersonol ar ffurf nad yw’n caniatáu adnabod gwrthrychau’r data am gyfnod hwy nag sy’n angenrheidiol at y dibenion y mae’r wybodaeth yn cael ei phrosesu ar eu cyfer; a

 

  1. byddwn yn cymryd mesurau technegol a threfniadol priodol i sicrhau bod gwybodaeth bersonol yn cael ei chadw’n ddiogel a’i hamddiffyn rhag prosesu anawdurdodedig neu anghyfreithlon, ac yn erbyn colled, dinistr neu ddifrod damweiniol.

 

  1. Sail ar gyfer prosesu gwybodaeth bersonol

 

  1. Mewn perthynas ag unrhyw weithgaredd prosesu byddwn, cyn i'r prosesu ddechrau am y tro cyntaf, ac yna'n rheolaidd tra bydd yn parhau:

 

  1. adolygu dibenion y gweithgaredd prosesu penodol, a dewis y sail (neu seiliau) cyfreithlon mwyaf priodol ar gyfer y prosesu hwnnw, h.y.:

 

  1. bod gwrthrych y data wedi cydsynio i'r prosesu;

 

  1. bod y prosesu yn angenrheidiol er mwyn cyflawni contract y mae gwrthrych y data yn barti iddo neu er mwyn cymryd camau ar gais gwrthrych y data cyn ymrwymo i gontract;

 

  1. bod y prosesu yn angenrheidiol er mwyn cydymffurfio â rhwymedigaeth gyfreithiol y mae'r Cwmni yn ddarostyngedig iddo;

 

  1. bod y prosesu yn angenrheidiol er mwyn diogelu buddiannau hanfodol gwrthrych y data neu berson naturiol arall;

 

  1. bod y prosesu yn angenrheidiol ar gyfer cyflawni tasg a wneir er budd y cyhoedd

 

  1. bod y prosesu’n angenrheidiol at ddibenion buddiannau cyfreithlon y Cwmni neu drydydd parti, ac eithrio lle caiff y buddiannau hynny eu diystyru gan fuddiannau hawliau sylfaenol a rhyddid gwrthrych y data—gweler cymal 5.2 isod.

 

  1. ac eithrio lle mae'r prosesu yn seiliedig ar ganiatâd, bodloni ein hunain bod y prosesu yn angenrheidiol at ddiben y sail gyfreithiol berthnasol (hy nad oes unrhyw ffordd resymol arall o gyflawni'r diben hwnnw);

 

  1. dogfennu ein penderfyniad ynghylch pa sail gyfreithlon sy’n berthnasol, er mwyn helpu i ddangos ein bod yn cydymffurfio â’r egwyddorion diogelu data;

 

 

  1. cynnwys gwybodaeth am ddibenion y prosesu a’r sail gyfreithiol ar ei gyfer yn ein hysbysiad(au) preifatrwydd perthnasol;

 

  1. lle mae gwybodaeth bersonol sensitif yn cael ei phrosesu, hefyd nodi amod arbennig cyfreithlon ar gyfer prosesu'r wybodaeth honno (gweler paragraff 6.2.2 isod), a'i dogfennu; a

 

  1. lle mae gwybodaeth trosedd yn cael ei phrosesu, hefyd nodi amod cyfreithlon ar gyfer prosesu'r wybodaeth honno, a'i dogfennu.

 

  1. Wrth benderfynu ai buddiannau cyfreithlon y Cwmni yw'r sail fwyaf priodol ar gyfer prosesu cyfreithlon, byddwn yn:

 

  1. cynnal asesiad buddiannau cyfreithlon (AEI) a chadw cofnod ohono, i sicrhau y gallwn gyfiawnhau ein penderfyniad;

 

  1. os yw’r AEI yn nodi effaith sylweddol ar breifatrwydd, ystyriwch a oes angen i ni hefyd gynnal asesiad o’r effaith ar ddiogelu data (DPIA).

 

  1. parhau i adolygu’r AEI, a’i ailadrodd os bydd amgylchiadau’n newid; a

 

  1. cynnwys gwybodaeth am ein buddiannau cyfreithlon yn ein hysbysiad(au) preifatrwydd perthnasol.

 

  1. Gwybodaeth bersonol sensitif

 

  1. Weithiau cyfeirir at wybodaeth bersonol sensitif fel 'categorïau arbennig o ddata personol' neu 'ddata personol sensitif'.

 

  1. O bryd i'w gilydd efallai y bydd angen i'r Cwmni brosesu gwybodaeth bersonol sensitif. Byddwn ond yn prosesu gwybodaeth bersonol sensitif os:

 

  1. mae gennym sail gyfreithlon dros wneud hynny fel y nodir ym mharagraff 5.1.1 uchod, ee mae'n angenrheidiol i gyflawni'r contract cyflogaeth, i gydymffurfio â rhwymedigaethau cyfreithiol y Cwmni neu at ddibenion buddiannau cyfreithlon y Cwmni; a

 

  1. mae un o’r amodau arbennig ar gyfer prosesu gwybodaeth bersonol sensitif yn berthnasol, e.e.:

 

  1. bod gwrthrych y data wedi rhoi caniatâd penodol;

 

  1. bod y prosesu yn angenrheidiol at ddibenion arfer hawliau neu rwymedigaethau cyfraith cyflogaeth y Cwmni neu wrthrych y data;

 

  1. bod y prosesu yn angenrheidiol i ddiogelu buddiannau hanfodol gwrthrych y data, a bod gwrthrych y data yn gorfforol analluog i roi caniatâd;

 

  1. mae prosesu yn ymwneud â data personol y mae gwrthrych y data yn amlwg yn ei wneud yn gyhoeddus;

 

  1. bod y prosesu yn angenrheidiol ar gyfer sefydlu, ymarfer neu amddiffyn hawliadau cyfreithiol; neu

 

  1. mae’r prosesu’n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd.

 

  1. Cyn prosesu unrhyw wybodaeth bersonol sensitif, rhaid i staff hysbysu’r Swyddog Diogelu Data o’r prosesu arfaethedig, er mwyn i’r Swyddog Diogelu Data allu asesu a yw’r prosesu’n cydymffurfio â’r meini prawf a nodir uchod.

 

  1. Ni fydd gwybodaeth bersonol sensitif yn cael ei phrosesu tan:

 

  1. bod yr asesiad y cyfeirir ato ym mharagraff 6.3 wedi'i gynnal; a

 

  1. bod yr unigolyn wedi’i hysbysu’n briodol (trwy hysbysiad preifatrwydd neu fel arall) o natur y prosesu, y dibenion y mae’n cael ei wneud ar eu cyfer a’r sail gyfreithiol drosto.

 

  1. Ni fydd y Cwmni yn gwneud penderfyniadau awtomataidd (gan gynnwys proffilio) yn seiliedig ar wybodaeth bersonol sensitif unrhyw unigolyn.

 

  1. Mae Hysbysiad Preifatrwydd Diogelu Data'r Cwmni yn nodi'r mathau o wybodaeth bersonol sensitif y mae'r Cwmni'n ei phrosesu, ar gyfer beth y'i defnyddir a'r sail gyfreithlon ar gyfer prosesu.

 

  1. Mewn perthynas â gwybodaeth bersonol sensitif, bydd y Cwmni yn cydymffurfio â'r gweithdrefnau a nodir ym mharagraffau 6.8 a 6.9 isod i wneud yn siŵr ei fod yn cydymffurfio â'r egwyddorion diogelu data a nodir ym mharagraff 4 uchod.

 

  1. Yn ystod y broses recriwtio: bydd y Rheolwr Swyddog, gydag arweiniad gan y Swyddog Diogelu Data, yn sicrhau (ac eithrio lle mae’r gyfraith yn caniatáu fel arall):

 

  1. yn ystod y camau llunio rhestr fer, cyfweld a gwneud penderfyniadau, ni ofynnir unrhyw gwestiynau yn ymwneud â gwybodaeth bersonol sensitif, ee hil neu darddiad ethnig, aelodaeth o undeb llafur neu iechyd;

 

  1. os derbynnir gwybodaeth bersonol sensitif, e.e. mae’r ymgeisydd yn ei darparu heb ofyn amdani yn ei CV neu yn ystod y cyfweliad, ni chedwir cofnod ohoni a chaiff unrhyw gyfeiriad ato ei ddileu ar unwaith neu ei olygu

 

  1. bod unrhyw ffurflen monitro cyfle cyfartal wedi'i chwblhau yn cael ei chadw ar wahân i ffurflen gais yr unigolyn, ac ni chaiff ei gweld gan y sawl sy'n llunio rhestr fer, yn cyfweld nac yn gwneud y penderfyniad recriwtio;

 

  1. bod gwiriadau 'hawl i weithio' yn cael eu cynnal cyn i gynnig cyflogaeth gael ei wneud yn ddiamod, ac nid yn ystod y camau cynharach o lunio rhestr fer, cyfweld neu wneud penderfyniadau;

 

  1. ni fyddwn yn gofyn cwestiynau iechyd mewn cysylltiad â recriwtio nac yn gofyn cwestiynau iechyd dim ond ar ôl i gynnig cyflogaeth gael ei wneud.

 

  1. Yn ystod cyflogaeth: bydd y Rheolwr Swyddfa, gydag arweiniad gan y Swyddog Diogelu Data, yn prosesu:

 

  1. gwybodaeth iechyd at ddibenion gweinyddu tâl salwch, cadw cofnodion absenoldeb salwch, monitro presenoldeb staff a hwyluso budd-daliadau iechyd a salwch sy'n gysylltiedig â chyflogaeth;

 

  1. gwybodaeth bersonol sensitif at ddibenion monitro cyfle cyfartal ac adrodd ar gydraddoldeb cyflog. Lle bo modd, bydd y wybodaeth hon yn ddienw; a

 

  1. gwybodaeth aelodaeth undeb llafur at ddibenion gweinyddu staff a gweinyddu 'check off'.

 

 

  1. Gwybodaeth cofnodion troseddol

 

  1. Bydd gwybodaeth cofnodion troseddol yn cael ei phrosesu yn unol â Pholisi Gwybodaeth Cofnodion Troseddol y Cwmni.

 

  1. Asesiadau o’r effaith ar ddiogelu data (DPIAs)

 

  1. Lle mae prosesu yn debygol o arwain at risg uchel i hawliau diogelu data unigolyn (e.e. pan fo’r Cwmni’n bwriadu defnyddio ffurf newydd ar dechnoleg), byddwn, cyn dechrau’r prosesu, yn cynnal DPIA i asesu:

 

  1. a yw'r prosesu yn angenrheidiol ac yn gymesur mewn perthynas â'i ddiben;

 

  1. y risgiau i unigolion; a

 

  1. pa fesurau y gellir eu rhoi ar waith i fynd i'r afael â'r risgiau hynny a diogelu gwybodaeth bersonol.

 

  1. Cyn i unrhyw fath newydd o dechnoleg gael ei chyflwyno, dylai'r rheolwr sy'n gyfrifol felly gysylltu â'r Swyddog Diogelu Data er mwyn gallu cynnal DPIA.

 

  1. Yn ystod unrhyw DPIA, bydd y Partner yn ceisio cyngor y Swyddog Diogelu Data a barn unrhyw randdeiliaid perthnasol eraill.

 

  1. Dogfennaeth a chofnodion

 

  1. Byddwn yn cadw cofnodion ysgrifenedig o weithgareddau prosesu sy’n risg uchel, hy a allai arwain at risg i hawliau a rhyddid unigolion neu gynnwys gwybodaeth bersonol sensitif neu wybodaeth cofnodion troseddol, gan gynnwys:

 

  1. enw a manylion sefydliad y cyflogwr (a lle bo’n berthnasol, rheolwyr eraill, cynrychiolydd y cyflogwr a DPO)

 

  1. dibenion y prosesu;

 

  1. disgrifiad o’r categorïau o unigolion a chategorïau o ddata personol;

 

  1. categorïau o dderbynwyr data personol;

 

  1. pan fo'n berthnasol, manylion trosglwyddiadau i drydydd gwledydd, gan gynnwys dogfennu'r mesurau diogelu sydd ar waith yn y mecanwaith trosglwyddo;

 

  1. lle bo modd, amserlenni cadw; a

 

  1. lle bo modd, disgrifiad o fesurau diogelwch technegol a sefydliadol.

 

  1. Fel rhan o'n cofnod o weithgareddau prosesu rydym yn dogfennu, neu'n cysylltu â dogfennaeth, ar:

 

  1. gwybodaeth sydd ei hangen ar gyfer hysbysiadau preifatrwydd;

 

  1. cofnodion caniatâd;

 

  1. contractau rheolwr-prosesydd;

 

  1. lleoliad gwybodaeth bersonol;

 

  1. DPIAs; a

 

  1. cofnodion o doriadau data.

 

  1. Os byddwn yn prosesu gwybodaeth bersonol sensitif neu wybodaeth cofnodion troseddol, byddwn yn cadw cofnodion ysgrifenedig o:

 

  1. y diben(ion) perthnasol y mae’r prosesu’n digwydd ar eu cyfer, gan gynnwys (pan fo’n ofynnol, pam ei fod yn angenrheidiol at y diben hwnnw;

 

  1. y sail gyfreithlon ar gyfer ein prosesu; a

 

  1. a ydym yn cadw ac yn dileu’r wybodaeth bersonol yn unol â’n dogfen bolisi ac, os nad ydym, y rhesymau dros beidio â dilyn ein polisi.

 

  1. Byddwn yn cynnal adolygiadau rheolaidd o'r wybodaeth bersonol rydym yn ei phrosesu ac yn diweddaru ein dogfennaeth yn unol â hynny. Gall hyn gynnwys:

 

  1. cynnal archwiliadau gwybodaeth i ganfod pa wybodaeth bersonol sydd gan y Cwmni;

 

  1. dosbarthu holiaduron a siarad â staff ar draws y Cwmni i gael darlun mwy cyflawn o'n gweithgareddau prosesu; a

 

  1. adolygu ein polisïau, gweithdrefnau, contractau a chytundebau i fynd i’r afael â meysydd fel cadw, diogelwch a rhannu data.

 

  1. Hysbysiad preifatrwydd

 

  1. Bydd y Cwmni yn cyhoeddi hysbysiadau preifatrwydd o bryd i'w gilydd, yn rhoi gwybod i chi am y wybodaeth bersonol yr ydym yn ei chasglu a'i chadw sy'n ymwneud â chi, sut y gallwch ddisgwyl i'ch gwybodaeth bersonol gael ei defnyddio ac at ba ddibenion.

 

  1. Byddwn yn cymryd mesurau priodol i ddarparu gwybodaeth mewn hysbysiadau preifatrwydd ar ffurf gryno, dryloyw, ddealladwy a hawdd ei chael, gan ddefnyddio iaith glir a syml.

 

  1. Hawliau unigol

 

  1. Mae gennych chi (yn gyffredin â gwrthrychau data eraill) yr hawliau canlynol mewn perthynas â'ch gwybodaeth bersonol:

 

  1. cael gwybod sut, pam ac ar ba sail y caiff y wybodaeth honno ei phrosesu—gweler Hysbysiad Preifatrwydd Diogelu Data'r Cwmni;

 

  1. i gael cadarnhad bod eich gwybodaeth yn cael ei phrosesu ac i gael mynediad ati a gwybodaeth benodol arall, trwy wneud cais gwrthrych am wybodaeth — gweler Polisi Ceisiadau Gwrthrych am Wybodaeth y Cwmni;

 

  1. i gael data wedi'i gywiro os yw'n anghywir neu'n anghyflawn;

 

  1. cael data wedi’i ddileu os nad yw’n angenrheidiol mwyach at y diben y’i casglwyd/prosesu ar ei gyfer yn wreiddiol, neu os nad oes unrhyw seiliau cyfreithlon tra phwysig dros y prosesu (gelwir hyn weithiau yn ‘hawl i gael eich anghofio’);

 

  1. i gyfyngu ar brosesu gwybodaeth bersonol lle caiff cywirdeb y wybodaeth ei herio, neu lle mae’r prosesu’n anghyfreithlon (ond nid ydych am i’r data gael ei ddileu), neu lle nad oes angen y wybodaeth bersonol ar y cyflogwr mwyach ond bod angen y data arnoch. sefydlu, arfer neu amddiffyn hawliad cyfreithiol; a

 

  1. i gyfyngu ar brosesu gwybodaeth bersonol dros dro pan nad ydych yn meddwl ei bod yn gywir (a bod y cyflogwr yn gwirio a yw’n gywir), neu lle rydych wedi gwrthwynebu’r prosesu (ac mae’r cyflogwr yn ystyried a yw seiliau cyfreithlon y sefydliad yn drech na’ch buddiannau ).

 

  1. Os dymunwch arfer unrhyw un o'r hawliau ym mharagraffau 11.1.3 i 11.1.6, cysylltwch â'r Swyddog Diogelu Data.

 

  1. Rhwymedigaethau unigol

 

  1. Mae unigolion yn gyfrifol am helpu'r Cwmni i gadw eu gwybodaeth bersonol yn gyfredol. Dylech roi gwybod i Reolwr y Swyddfa os bydd y wybodaeth a ddarparwyd gennych i’r Cwmni yn newid, er enghraifft os byddwch yn symud tŷ neu’n newid manylion y cyfrif banc neu gymdeithas adeiladu y cewch eich talu iddo.

 

  1. Mae'n bosibl y bydd gennych fynediad at wybodaeth bersonol aelodau eraill o staff, cyflenwyr a chleientiaid y Cwmni yn ystod eich cyflogaeth neu ymrwymiad. Os felly, mae'r Cwmni yn disgwyl i chi helpu i gyflawni ei rwymedigaethau diogelu data i'r unigolion hynny. Er enghraifft, dylech fod yn ymwybodol y gallant hefyd fwynhau'r hawliau a nodir ym mharagraff 11.1 uchod

 

 

  1. Os oes gennych chi fynediad at wybodaeth bersonol, rhaid i chi:

 

  1. dim ond cael mynediad i’r wybodaeth bersonol y mae gennych yr awdurdod i’w chyrchu, a dim ond at ddibenion awdurdodedig;

 

  1. caniatáu i staff Cwmni eraill gael mynediad at wybodaeth bersonol dim ond os oes ganddynt awdurdodiad priodol;

 

  1. caniatáu i unigolion nad ydynt yn staff Cadarn gael mynediad at wybodaeth bersonol dim ond os oes gennych awdurdod penodol i wneud hynny gan y Swyddog Diogelu Data;

 

  1. cadw gwybodaeth bersonol yn ddiogel (ee trwy gydymffurfio â rheolau mynediad i eiddo, mynediad at gyfrifiadur, diogelu cyfrinair a storio a dinistrio ffeiliau'n ddiogel a rhagofalon eraill a nodir ym Mholisi Diogelu Gwybodaeth y Cwmni;

 

  1. peidio â symud gwybodaeth bersonol, neu ddyfeisiau sy'n cynnwys gwybodaeth bersonol (neu y gellir eu defnyddio i gael mynediad iddi), o eiddo'r Cwmni oni bai bod mesurau diogelwch priodol yn eu lle (fel ffugenw, amgryptio neu ddiogelu'r cyfrinair) i ddiogelu'r wybodaeth a'r ddyfais; a

 

  1. peidio â storio gwybodaeth bersonol ar yriannau lleol neu ar ddyfeisiau personol a ddefnyddir at ddibenion gwaith;

 

  1. Dylech gysylltu â’r Swyddog Diogelu Data os ydych yn bryderus neu’n amau bod un o’r canlynol wedi digwydd (neu’n digwydd neu’n debygol o ddigwydd):

 

  1. prosesu data personol heb sail gyfreithlon ar gyfer ei brosesu neu, yn achos gwybodaeth bersonol sensitif, heb fodloni un o'r amodau ym mharagraff 6.2.2;

 

  1. unrhyw doriad data fel y nodir ym mharagraff 15.1 isod;

 

  1. mynediad at wybodaeth bersonol heb y caniatâd priodol;

 

  1. gwybodaeth bersonol heb ei chadw neu ei dileu yn ddiogel;

 

  1. symud gwybodaeth bersonol, neu ddyfeisiau sy'n cynnwys gwybodaeth bersonol (neu y gellir eu defnyddio i gael mynediad iddi), o safle'r Cwmni heb fod mesurau diogelwch priodol yn eu lle;

 

  1. unrhyw achos arall o dorri’r polisi hwn neu unrhyw un o’r egwyddorion diogelu data a nodir ym mharagraff 4.1 uchod.

 

  1. Diogelwch gwybodaeth

 

  1. Bydd y Cwmni yn defnyddio mesurau technegol a threfniadol priodol yn unol â Pholisi Diogelwch Gwybodaeth y Cwmni i gadw gwybodaeth bersonol yn ddiogel, ac yn arbennig i amddiffyn rhag prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn colled, dinistr neu ddifrod damweiniol. Gall y rhain gynnwys:

 

  1. sicrhau, lle bo modd, bod gwybodaeth bersonol yn cael ei ffug-enwi neu ei hamgryptio;

 

  1. sicrhau cyfrinachedd, cywirdeb, argaeledd a gwytnwch parhaus systemau a gwasanaethau prosesu;

 

  1. sicrhau, mewn achos o ddigwyddiad corfforol neu dechnegol, y gellir adfer argaeledd a mynediad at wybodaeth bersonol mewn modd amserol; a

 

  1. proses ar gyfer profi, asesu a gwerthuso effeithiolrwydd mesurau technegol a threfniadol ar gyfer sicrhau diogelwch y prosesu yn rheolaidd.

 

  1. Lle mae'r Cwmni'n defnyddio sefydliadau allanol i brosesu gwybodaeth bersonol ar ei ran, mae angen rhoi trefniadau diogelwch ychwanegol ar waith mewn contractau gyda'r sefydliadau hynny i ddiogelu diogelwch gwybodaeth bersonol. Yn benodol, rhaid i gontractau gyda sefydliadau allanol ddarparu bod:

 

  1. dim ond ar gyfarwyddiadau ysgrifenedig y Cwmni y caiff y sefydliad weithredu;

 

  1. mae'r rhai sy'n prosesu'r data yn destun dyletswydd cyfrinachedd;

 

  1. bod mesurau priodol yn cael eu cymryd i sicrhau diogelwch prosesu;

 

  1. dim ond gyda chaniatâd ymlaen llaw gan y Cwmni ac o dan gontract ysgrifenedig y caiff is-gontractwyr eu cyflogi;

 

  1. bydd y sefydliad yn cynorthwyo'r Cwmni i ddarparu mynediad gwrthrych a chaniatáu i unigolion arfer eu hawliau mewn perthynas â diogelu data;

 

  1. bydd y sefydliad yn cynorthwyo'r Cwmni i gyflawni ei rwymedigaethau mewn perthynas â diogelwch prosesu, hysbysu ynghylch achosion o dorri rheolau data ac asesiadau effaith diogelu data;

 

  1. bydd y sefydliad yn dileu neu'n dychwelyd yr holl wybodaeth bersonol i'r Cwmni yn unol â chais ar ddiwedd y contract; a

 

  1. bydd y sefydliad yn cyflwyno i archwiliadau ac arolygiadau, yn rhoi i'r Cwmni pa bynnag wybodaeth sydd ei hangen arno i sicrhau eu bod ill dau yn bodloni eu rhwymedigaethau diogelu data, ac yn dweud wrth y Cwmni ar unwaith os gofynnir iddo wneud rhywbeth sy'n torri cyfraith diogelu data.

 

  1. Cyn ymrwymo i unrhyw gytundeb newydd sy'n ymwneud â phrosesu gwybodaeth bersonol gan sefydliad allanol, neu i gytundeb presennol gael ei newid, rhaid i'r staff perthnasol ofyn am gymeradwyaeth i'w delerau gan y Swyddog Diogelu Data;

 

  1. Storio a chadw gwybodaeth bersonol

 

  1. Cedwir gwybodaeth bersonol (a gwybodaeth bersonol sensitif) yn ddiogel yn unol â Pholisi Diogelwch Gwybodaeth y Cwmni.

 

  1. Ni ddylid cadw gwybodaeth bersonol (a gwybodaeth bersonol sensitif) yn hwy nag sydd angen. Bydd hyd yr amser y dylid cadw data yn dibynnu ar yr amgylchiadau, gan gynnwys y rhesymau pam y cafwyd y wybodaeth bersonol. Dylai staff ddilyn Polisi Cadw Cofnodion y Cwmni sy'n nodi'r cyfnod cadw perthnasol, neu'r meini prawf y dylid eu defnyddio i bennu'r cyfnod cadw. Os oes unrhyw ansicrwydd, dylai staff ymgynghori â [y Swyddog Diogelu Data;

 

  1. Bydd gwybodaeth bersonol (a gwybodaeth bersonol sensitif) nad oes ei hangen mwyach yn cael ei dileu’n barhaol o’n systemau gwybodaeth a bydd unrhyw gopïau caled yn cael eu dinistrio’n ddiogel.

 

  1. Toriadau data

 

  1. Gall toriad data fod ar sawl ffurf wahanol, er enghraifft:

 

  1. colli neu ddwyn data neu offer y mae gwybodaeth bersonol yn cael ei storio arnynt;

 

  1. mynediad anawdurdodedig at neu ddefnydd o wybodaeth bersonol naill ai gan aelod o staff neu drydydd parti;

 

  1. colli data o ganlyniad i fethiant offer neu systemau (gan gynnwys caledwedd a meddalwedd);

 

  1. gwall dynol, megis dileu neu newid data yn ddamweiniol;

 

  1. amgylchiadau nas rhagwelwyd, megis tân neu lifogydd;

 

  1. ymosodiadau bwriadol ar systemau TG, megis hacio, firysau neu sgamiau gwe-rwydo; a

 

  1. troseddau 'blagio', lle ceir gwybodaeth trwy dwyllo'r sefydliad sy'n ei dal.

 

  1. Bydd y Cwmni yn:

 

  1. gwneud yr adroddiad gofynnol o dorri data i Swyddfa’r Comisiynydd Gwybodaeth heb oedi gormodol a, lle bo’n bosibl o fewn 72 awr i ddod yn ymwybodol ohono, os yw’n debygol o arwain at risg i hawliau a rhyddid unigolion; a

 

  1. hysbysu’r unigolion yr effeithir arnynt os yw toriad data yn debygol o arwain at risg uchel i’w hawliau a’u rhyddid a bod angen hysbysiad yn ôl y gyfraith.

 

  1. Trosglwyddiadau rhyngwladol

 

  1. Gall y Cwmni drosglwyddo gwybodaeth bersonol y tu allan i'r Ardal Economaidd Ewropeaidd (AEE) (sy'n cynnwys y gwledydd yn yr Undeb Ewropeaidd a Gwlad yr Iâ, Liechtenstein a Norwy) ar y sail bod y wlad, y diriogaeth neu'r sefydliad hwnnw wedi'i ddynodi fel un sydd â lefel ddigonol o amddiffyniad neu bod y sefydliad sy’n derbyn y wybodaeth wedi darparu mesurau diogelu digonol drwy reolau corfforaethol rhwymol neu gymalau diogelu data safonol neu drwy gydymffurfio â chod ymddygiad cymeradwy, neu gyda chaniatâd penodol y cleient.

 

  1. Hyfforddiant

 

  1. Bydd y Cwmni'n sicrhau bod staff wedi'u hyfforddi'n ddigonol ynghylch eu cyfrifoldebau diogelu data. Bydd unigolion y mae eu rolau’n gofyn am fynediad rheolaidd at wybodaeth bersonol, neu sy’n gyfrifol am weithredu’r polisi hwn neu ymateb i geisiadau gwrthrych am wybodaeth o dan y polisi hwn, yn cael hyfforddiant ychwanegol i’w helpu i ddeall eu dyletswyddau a sut i gydymffurfio â nhw.

 

  1. Canlyniadau methu â chydymffurfio

 

  1. Mae'r Cwmni yn cymryd cydymffurfio â'r polisi hwn o ddifrif. Methiant i gydymffurfio â’r polisi:

 

  1. yn rhoi’r unigolion y mae eu gwybodaeth bersonol yn cael ei phrosesu mewn perygl; a

 

  1. yn cario'r risg o sancsiynau sifil a throseddol sylweddol ar gyfer yr unigolyn a'r Cwmni; a

 

  1. gall, o dan rai amgylchiadau, fod yn drosedd gan yr unigolyn.

 

  1. Oherwydd pwysigrwydd y polisi hwn, gall methiant cyflogai i gydymffurfio ag unrhyw ofyniad ynddo arwain at gamau disgyblu o dan ein gweithdrefnau, a gall y cam hwn arwain at ddiswyddo am gamymddwyn difrifol. Os bydd rhywun nad yw'n weithiwr yn torri'r polisi hwn, mae'n bosibl y caiff ei gontract ei derfynu ar unwaith.

 

  1. Os oes gennych unrhyw gwestiynau neu bryderon am unrhyw beth yn y polisi hwn, mae croeso i chi gysylltu â’r Swyddog Diogelu Data;

 

 

 

Rwyf wedi darllen a deall y polisi hwn ac yn cytuno i gadw at ei delerau.

 

Llofnodwyd................................................. ................................................................... .

bottom of page