Polisi Diogelu Data

Datganiad Polisi Diogelu Data

Mae Deddf Diogelu Data 1998 yn rhoi hawl i unigolyn gael mynediad at yr wybodaeth y mae sefydliadau yn ei dal amdano, ac yn pennu sut caiff yr wybodaeth honno ei chasglu, ei defnyddio, a'i lledaenu. Mae Prifysgol Abertawe wedi ymrwymo i ddiogelu hawliau unigolion o dan y Ddeddf Diogelu Data.

Mae polisi Diogelu Data Prifysgol Abertawe yn ddilys ar gyfer holl fyfyrwyr a staff y Brifysgol. Gall unrhyw weithred sy'n groes i'r polisi olygu bod Prifysgol Abertawe, y Rheolydd Data cofrestredig, yn atebol dan y gyfraith am y tramgwydd. Ar ben hynny, gellir tybio mai mater disgyblu yw unrhyw dramgwydd yn erbyn y Polisi Diogelu Data, gan staff neu gan fyfyrwyr, a gellir ymdrin ag e yn unol â gweithdrefnau disgyblu'r Brifysgol.

Bydd Prifysgol Abertawe'n cydymffurfio â'r Ddeddf Diogelu Data, ac yn glynu wrth yr wyth egwyddor diogelu data a ddisgrifir isod. Ategir y polisi gan gyfarwyddyd penodol a gweithdrefnau sydd wedi'u llunio i helpu staff a myfyrwyr i gydymffurfio â gofynion y Ddeddf.

Egwyddor 1 - Rhaid prosesu gwybodaeth bersonol yn deg a chyfreithlon

Bydd Prifysgol Abertawe'n sicrhau casglu gwybodaeth mewn modd teg trwy wneud ymdrech rhesymol i sicrhau bod Gwrthrychau Data yn cael gwybod pwy yw'r Rheolydd Data, at ba ddibenion y caiff yr wybodaeth ei defnyddio, am ba hyd y cedwir yr wybodaeth, ac i ba drydydd partïon y caiff yr wybodaeth ei datgelu. Gwneir hyn ar ffurf datganiad preifatrwydd neu hysbysiad casglu gwybodaeth (gweler y cyfarwyddyd ar wahân ar gasglu gwybodaeth bersonol).

Er mwyn i'r prosesu fod yn gyfreithlon, ni phrosesir gwybodaeth bersonol (nad yw'n Wybodaeth Bersonol Sensitif) gan Brifysgol Abertawe oni fodlonir o leiaf un o'r amodau canlynol, a bennir yn Atodiad 2 y Ddeddf Diogelu Data:

  • Mae Gwrthrych y Data wedi cydsynio i'r Prosesu.
  • Mae'r Prosesu'n angenrheidiol er mwyn cyflawni contract gyda Gwrthrych y Data, neu am gymryd camau gyda golwg ar gytuno contract.
  • Mae'r Prosesu'n ofynnol o dan rwymedigaeth gyfreithiol nad yw'n gontract.
  • Mae'r Prosesu'n angenrheidiol er mwyn diogelu Buddiannau Hanfodol Gwrthrych y Data.
  • Mae'r Prosesu'n angenrheidiol at ddibenion gweinyddu cyfiawnder, cyflawni swyddogaethau dan unrhyw ddeddfwriaeth, cyflawni swyddogaethau'r Goron neu adran o'r llywodraeth, neu unrhyw swyddogaeth arall o natur gyhoeddus a gyflawnir er budd y cyhoedd.
  • Mae'r Prosesu'n angenrheidiol i warchod buddion dilys Prifysgol Abertawe neu drydydd parti, ac nid yw'n niweidiol i hawliau, rhyddid neu fuddion dilys Gwrthrych y Data.

Mae Atodiad 3 y Ddeddf Diogelu Data yn gosod cyfyngiadau mwy llym ar gyfer prosesu Gwybodaeth Bersonol Sensitif. Ni phrosesir Gwybodaeth Bersonol Sensitif gan Brifysgol Abertawe oni fodlonir o leiaf un o'r amodau uchod ar gyfer gwybodaeth bersonol nad yw'n sensitif, yn ogystal â bodloni o leiaf un o'r amodau o Atodiad 3 hefyd, sef:

  • Mae Gwrthrych y Data wedi rhoi cydsyniad penodol.
  • Mae'r Prosesu'n angenrheidiol dan y gyfraith o ran cyflogaeth.
  • Mae'r Prosesu'n angenrheidiol er mwyn diogelu buddiannau hanfodol Gwrthrych y Data neu unigolyn arall.
  • Cyhoeddwyd yr wybodaeth gan Wrthrych y Data.
  • Mae'r Prosesu'n angenrheidiol ar gyfer trafodion cyfreithiol, ceisio cyngor cyfreithiol, neu sefydlu neu amddiffyn hawliau cyfreithiol.
  • Mae'r Prosesu'n angenrheidiol at ddibenion gweinyddu cyfiawnder, cyflawni swyddogaethau dan ddeddfwriaeth, neu gyflawni swyddogaethau'r Goron neu adran o'r llywodraeth.
  • Mae'r Prosesu'n angenrheidiol at ddibenion meddygol, ac fe'i gwneir gan weithiwr iechyd proffesiynol neu unigolyn gyda dyletswydd cyfrinachedd cyfatebol.
  • Mae'r Prosesu'n angenrheidiol er mwyn mesur cydraddoldeb rhwng pobl o wahanol gefndiroedd hiliol neu ethnig, credau crefyddol gwahanol, neu gyflyrau gwahanol o ran iechyd y corff neu'r meddwl.
  • Mae'r Prosesu er budd sylweddol y cyhoedd; yn angenrheidiol i gyflawni swyddogaethau gwasanaeth cyfrinachol o ran cwnsela, cyngor, cymorth neu ddiben arall; ac nid oes modd i Wrthrych y Data roi ei gydsyniad, neu nid yw'n rhesymol disgwyl i Brifysgol Abertawe gael cydsyniad penodol Gwrthrych y Data, neu mae angen i'r Prosesu ddigwydd heb gydsyniad er mwyn peidio â chyfaddawdu darparu'r gwasanaeth hwnnw.
  • Mae'r Prosesu er budd sylweddol y cyhoedd, ac yn angenrheidiol at ddibenion ymchwil; ar yr amod na fydd y Prosesu'n cefnogi camau gweithredu neu benderfyniadau o ran unigolion, ac na fydd yn peri niwed neu drallod sylweddol i Wrthrych y Data nac i neb arall.

 

Ceir gwybodaeth am sut mae Prifysgol Abertawe'n prosesu data am fyfyrwyr yn y Datganiad Diogelu Data Myfyrwyr ar wefan y Brifysgol. Mae hyn yn egluro i fyfyrwyr pa Wybodaeth Bersonol mae Prifysgol Abertawe'n ei chasglu amdanyn nhw, sut y caiff yr wybodaeth ei defnyddio gan y Brifysgol, gyda phwy y caiff yr wybodaeth ei rhannu, a'u hawliau a'u cyfrifoldebau o ran yr wybodaeth bersonol.

Egwyddor 2 - Delir gwybodaeth bersonol at ddibenion penodol a chyfreithlon, ac ni chaniateir ei phrosesu ymhellach mewn unrhyw fodd sy'n anghydnaws â'r dibenion hynny

Bydd Prifysgol Abertawe yn sicrhau nad yw Gwybodaeth Bersonol a gesglir at un diben yn cael ei defnyddio at ddiben arall, ac eithrio lle ceir cydysniad Gwrthrych y Data, lle caniateir hynny o dan gofrestriad Prifysgol Abertawe gyda'r Comisiynydd Gwybodaeth, neu le caniateir hynny fel arall o dan y Ddeddf Diogelu Data.

Egwyddor 3 - Rhaid i wybodaeth bersonol fod yn ddigonol, yn berthnasol a heb fod yn ormodol o gymharu â'r diben o'i phrosesu

Bydd Prifysgol Abertawe'n sicrhau nad yw'n casglu mwy na'r lleiafswm o Wybodaeth Bersonol at y dibenion a bennwyd, ac ni fydd yn casglu, nac yn dal, gwybodaeth ar y sail y gallai fod o ddefnydd yn y dyfodol.

Egwyddor 4 - Rhaid i wybodaeth bersonol fod yn gywir a, lle bo angen, rhaid ei chadw'n gyfredol

Bydd Prifysgol Abertawe'n cymryd camau rhesymol i sicrhau cywirdeb yr Wybodaeth Bersonol a ddelir ganddi, ac yn cymryd camau i newid, diweddaru neu gywiro gwybodaeth anghywir ar gais Gwrthrych y Data. Tybir bod gwybodaeth yn wallus os bydd yn anghywir neu'n gamarweiniol o ran unrhyw ffeithiau.

Egwyddor 5 - Ni ddylid cadw gwybodaeth bersonol a brosesir at unrhyw ddiben am gyfnod hwy nag sydd angen i'r diben hwnnw.

Bydd Prifysgol Abertawe yn sicrhau na chedwir Gwybodaeth Bersonol am gyfnod hwy nag sy'n angenrheidiol o ran y dibenion y casglwyd yr wybodaeth i'w cyflawni. Rhaid i staff sicrhau dinistrio Gwybodaeth Bersonol mewn modd diogel ar ôl cyflawni'r diben y casglwyd yr wybodaeth ato, os na fydd gofyniad cyfreithiol neu reswm gweithredol dilys am ei chadw (gweler y cyfarwyddyd penodol ar gadw gwybodaeth bersonol).

Caiff Prifysgol Abertawe gadw rhai gwybodaeth am gyfnod amhenodol at ddibenion ymchwil (gan gynnwys dibenion hanesyddol neu ystadegol) fel y caniateir dan y Ddeddf Diogelu Data (gweler y cyfarwyddyd penodol am ddefnyddio Gwybodaeth Bersonol ar gyfer ymchwil).

Egwyddor 6 - Rhaid prosesu gwybodaeth bersonol yn unol â hawliau gwrthrych y data o dan y Ddeddf Diogelu Data.

Bydd Prifysgol Abertawe'n sicrhau prosesu gwybodaeth bersonol yn unol â hawliau Gwrthrychau Data o dan y Ddeddf Diogelu Data. Mae'r hawliau hyn yn cynnwys yr hawl i gyflwyno cais gwrthrych data i gael gwybod pa wybodaeth a ddelir amdanynt, at ba ddibenion y caiff ei defnyddio, ac i pwy y cafodd ei datgelu. Gweler isod rhestr o hawliau Gwrthrychau Data o dan y Chweched Egwyddor:-

  • hawl i weld copi o'r wybodaeth bersonol a ddelir amdanynt;
  • hawl i wrthwynebu unrhyw brosesu sy'n achosi, neu sy'n debyg o achosi, niwed neu drallod;
  • hawl i atal prosesu at ddibenion marchnata uniongyrchol;
  • hawl i wrthwynebu penderfyniadau a wneir trwy ddulliau awtomatig;
  • hawl, mewn rhai amgylchiadau, i fynnu bod gwybodaeth anghywir yn cael ei chywiro, ei blocio, ei dileu, neu ei dinistrio; a
  • hawl i iawndal am unrhyw niwed a berir o ganlyniad i dramgwyddo yn erbyn y Ddeddf.

Egwyddor 7 - Rhaid diogelu gwybodaeth bersonol rhag cael ei phrosesu heb awdurdod neu mewn modd anghyfreithlon, a rhag cael ei cholli neu ei dinistrio trwy ddamwain, gan ddefnyddio dulliau technegol a sefydliadol priodol.

Bydd Prifysgol Abertawe yn cymryd camau i sicrhau diogelwch Gwybodaeth Bersonol a ddelir yn electronig ac ar bapur er mwyn rhwystro datgelu gwybodaeth i drydydd parti heb awdurdod, a cholli neu niweidio data lle gall hynny effeithio ar fuddiannau Gwrthrychau Data. Gweler yr wybodaeth ychwanegol ar Ddiogelwch Data am gyfarwyddyd penodol.

Egwyddor 8 - Ni ddylid trosglwyddo gwybodaeth bersonol i wlad neu diriogaeth y tu allan i'r Ardal Economaidd Ewropeaidd oni fydd gan y wlad honno neu'r diriogaeth honno lefel ddigonol o ddiogelu hawliau a rhyddid Gwrthrychau Data o ran prosesu Gwybodaeth Bersonol.

Ni fydd Prifysgol Abertawe yn trosglwyddo Gwybodaeth Bersonol y tu allan i'r Ardal Economaidd Ewropeaidd oni fydd hynny'n angenrheidiol ac yn cael ei ganiatáu o dan Ddeddf Diogelu Data 1998 (gweler y cyfarwyddyd penodol ar drosglwyddo data y tu allan i'r Ardal).

Cyfrifoldebau Staff

Dylai pob aelod o staff sydd â chyfrifoldeb am gasglu, mynediad at, neu brosesu gwybodaeth bersonol gydymffurfio â darpariaethau'r Ddeddf yn unol â'r egwyddorion a amlygwyd uchod. Anogir rheolwyr llinell yn gryf i sicrhau bod eu staff yn ymwybodol o'r Ddeddf Diogelu Data a Pholisi Diogelu Data'r Brifysgol, ac i geisio cyfarwyddyd a hyfforddiant pellach trwy'r Swyddog Cydymffurfio - Gwybodaeth (Rhyddid Gwybodaeth/ Diogelu Data).

Mae pob aelod o staff yn gyfrifol am sicrhau bod unrhyw wybodaeth a ddarperir ganddynt i'r Brifysgol ynghylch eu cyflogaeth yn gywir ac yn gyfredol.

Mae cydymffurfio â'r Polisi Diogelu Data yn amod cyflogaeth pob aelod o staff, a gall methu â chydymffurfio arwain at broses ddisgyblu.

Cyfrifoldebau Myfyrwyr

Mae'n ofynnol bod myfyrwyr yn sicrhau bod Gwybodaeth Bersonol a ddarperir i'r Brifysgol ganddynt yn gywir ac yn gyfredol. Rhaid i fyfyrwyr gydymffurfio â Rheoliadau Cyfrifiadura'r Brifysgol. Gall methu â gwneud hynny arwain at broses ddisgyblu.

Cymorth Diogelu Data

Mae Swyddog Cydymffurfio'r Brifysgol ar gyfer Diogelu Data a Rhyddid Gwybodaeth yn gyfrifol am ymateb i ymholiadau ynghylch diogelu data a cheisiadau megis cais gwrthrych data, ac mae'n bwynt cyswllt ar faterion yn ymwneud â diogelu data. Mae'r Swyddog yn gyfrifol hefyd am lunio canllawiau arfer da o ran diogelu data ac am hybu cydymffurfio ar draws y Brifysgol. Bydd y Swyddog yn darparu hyfforddiant hefyd i unigolion neu grwpiau ar gais, neu le nodwyd bod angen.

Dolenni i gweithdrefnau Diogelu Data penodol:-

Ceisiadau am Wybodaeth Bersonol (Myfyrwyr a Staff)

Ceisiadau oddi wrth 3ydd Parti am Wybodaeth am Fyfyrwyr

Diogelwch Gwybodaeth Bersonol

Diffiniadau Diogelu Data

Mynediad at Wybodaeth Bersonol (Ceisiadau Gwrthrych Data)

Gwybodaeth Bersonol yn y Parth Cyhoeddus

Trin Gwybodaeth Bersonol gan Fyfyrwyr

Datgelu i'r Heddlu

Casglu Gwybodaeth Bersonol

Cadw Gwybodaeth Bersonol

Defnyddio Gwybodaeth Bersonol at Ddibenion Ymchwil

Arholi ac Asesu

Geirdaon a Recriwtio

Trosglwyddo y tu allan i'r Ardal Economaidd Ewropeaidd

Tramgwyddau Diogelu Data