Polisi Diogelu Data - Diogelwch Gwybodaeth Bersonol

Mae'r seithfed Egwyddor Diogelu Data yn gofyn am gymryd camau i sicrhau nad yw gwybodaeth bersonol yn cael ei cholli na'i niweidio, ac y dylid cyfyngu ar fynediad at, a datgelu, gwybodaeth bersonol. Mae gan yr holl staff, myfyrwyr ac ymwelwyr sy'n ymwneud mewn unrhyw ffordd â gwybodaeth bersonol gyfrifoldeb o dan y Ddeddf Diogelu Data i gymryd pob cam posibl i ddiogelu gwybodaeth rhag cael ei cholli, ei dinistrio neu ei datgelu heb awdurdod. Ni ddylid dal gwybodaeth ond yn unol â'r Egwyddorion Diogelu Data fel y'u hamlygir yn y Polisi Diogelu Data.

Ni chaniateir rhannu gwybodaeth a ddysgwyd am unigolion wrth gyflawni swyddogaethau gael ei rhannu â neb (oni fydd gofyn gwneud hynny dan y gyfraith neu at ddibenion busnes y Brifysgol neu â chydsyniad y sawl dan sylw). Byddai datgelu heb awdurdod, hyd yn oed trwy ddamwain, yn drosedd o dan y Ddeddf.

Rhaid i'r Swyddog Cydymffurfio - Gwybodaeth ar gyfer Diogelu Data a Rhyddid Gwybodaeth hysbysu'r Comisiynydd Gwybodaeth am ddisgrifiad a phwrpas yr holl ddata a ddelir gan y Brifysgol er mwyn cydymffurfio â'r Ddeddf. Dylai pob aelod o staff neu fyfyriwr sy'n trin gwybodaeth bersonol gael hyfforddiant digonol o ran defnyddio gwybodaeth bersonol, a rhaid eu hysbysu am y pwrpas a'r amodau datgelu a gofrestrwyd ar gyfer y data hynny. Dylid eu hatgoffa y byddai'n drosedd defnyddio'r wybodaeth at unrhyw ddiben arall. Rhaid hysbysu'r Swyddog Cydymffurfio - Gwybodaeth am unrhyw newid yn yr wybodaeth bersonol a drinnir, a gallai hynny effeithio ar gofrestriad y Brifysgol.

Data Electronig

Rhaid cymryd gofal i sicrhau nad yw cyfrifiaduron neu derfynellau a ddefnyddir i brosesu gwybodaeth bersonol yn weladwy i rai heb awdurdod i weld yr wybodaeth honno, yn arbennig mewn lleoliadau cyhoeddus. Ni ddylid gadael sgrîn heb neb i ofalu amdano os bydd yn dangos gwybodaeth bersonol. Rhaid cymryd gofal arbennig wrth drosglwyddo gwybodaeth bersonol. Dylid cymryd camau diogelwch priodol, megis defnyddio amgryptio a llofnod digidol, wrth anfon gwybodaeth bersonol trwy e-bost. Yn gyffredinol, dylid osgoi anfon gwybodaeth bersonol trwy ffacs.

Ni ddylai defnyddwyr rannu cyfrifiadur oni fydd modd ei ddiogelu trwy gyfrinair ar lefel y defnyddiwr o leiaf. Gallai datgelu neu ddefnyddio cyfrinair heb awdurdod arwain at broses ddisgyblu. Dylid cadw data a chopïau wrth gefn mewn ardal ddiogel briodol.

Mae negeseuon e-bost sy'n cyfeirio at unigolion yn dod o dan y Ddeddf ac mae angen eu datgelu i unigolyn sy'n cyflwyno cais gwrthrych data. Rhaid cymryd gofal gyda chynnwys negeseuon e-bost ac wrth storio negeseuon y gellir eu defnyddio at bwrpas penodol, megis apêl.

Gwybodaeth ar Bapur

Pan nad ydynt yn cael eu defnyddio, dylid cadw ffeiliau sy'n cynnwys gwybodaeth bersonol mewn storfa neu gwpwrdd dan glo nad oes mynediad iddi ond i staff sydd â'r awdurdod priodol. Dylid llunio gweithdrefnau am dynnu ffeiliau o'r storfa ac am eu dychwelyd, fel bod modd olrhain symudiadau ffeiliau. Dylid rhoi ffeiliau mewn storfa ddiogel ar ddiwedd y diwrnod, ac ni ddylid eu gadael ar ddesg dros nos.

Anfon Gwybodaeth Bersonol yn Ddiogel

Dylai pob aelod staff sy'n gyfrifol am ymdrin â data personol gydymffurfio ag egwyddorion Deddf Diogelu Data 1998. Anogir rheolwyr llinell yn gryf i sicrhau bod aelodau staff yn hollol ymwybodol o'r Ddeddf Diogelu Data, Polisi Diogelu Data'r Brifysgol, y Polisi Diogelwch Gwybodaeth  a'u bod yn cwblhau'r hyfforddiant Diogelu Data  gorfodol.

Mae'n ofynnol i bob aelod staff fod yn arbennig o ofalus wrth rannu gwybodaeth bersonol - p'un a ydynt yn rhannu gwybodaeth bersonol yn electronig neu'n anfon copi papur. Dylid cymryd camau priodol i atal mynediad anawdurdodedig neu anghyfreithlon i wybodaeth bersonol, ac i atal gwybodaeth bersonol rhag gael ei cholli, ei difetha neu ei difrodi'n ddamweiniol.  Wrth benderfynu ar y ffordd fwyaf priodol o rannu gwybodaeth bersonol a lefel y diogelwch angenrheidiol, mae'n rhaid i chi bob amser ystyried pa mor sensitif yw'r wybodaeth a faint o frys sydd ynghlwm wrth y sefyllfa. Fel rheol gyffredinol, dylid dilyn y gweithdrefnau canlynol:

Rhannu gwybodaeth bersonol yn ddiogel drwy e-bost

Nid yw neges e-bost heb ei hamgryptio'n ddull diogel o anfon gwybodaeth bersonol. I wella diogelwch wrth rannu gwybodaeth drwy e-bost, dylid defnyddio'r mesurau canlynol:

  • Cymerwch amser i ystyried a oes angen rhannu'r wybodaeth mewn gwirionedd (neu hyd a lled yr wybodaeth sy'n cael ei hanfon) ac ai e-bost yw'r ffordd fwyaf priodol o gyflawni hyn;
  • Byddwch yn arbennig o ofalus os ydych yn anfon gwybodaeth i gyfeiriad e-bost y tu allan i @abertawe.ac.uk a, lle bynnag y bo modd, defnyddiwch gyfeiriadau e-bost busnes swyddogol yn unig;
  • Cadarnhewch enw, adran a chyfeiriad e-bost y derbynnydd. Gofynnwch i'r derbynnydd gadarnhau bod ei bolisi ei adran ei hun yn caniatáu derbyn gwybodaeth bersonol yn y modd hwn;
  • Gwiriwch y maes 'At' eto cyn gwasgu anfon, a sicrhewch fod yr holl feysydd cyfeiriad eraill yn wag neu wedi'u cwblhau fel y dylent fod;
  • Gofynnwch i'r derbynnydd gadarnhau ei fod wedi derbyn y neges, e.e. defnyddiwch y gosodiadau cais am dderbynneb anfonwyd a darllenwyd;
  • Rhowch yr wybodaeth bersonol mewn dogfen a'i hatodi i'r e-bost, yn hytrach na'i chynnwys yn nhestun yr e-bost, a'i chadw ar ffurf 'darllen yn unig'; defnyddiwch amgryptio neu gyfrinair diogelu dogfen electronig;
  • Rhowch y cyfrinair i'r derbynnydd drwy gyfrwng cyfathrebu arall, e.e. dros y ffôn;
  • Nodwch 'Cyfrinachol' yn glir ar yr e-bost;
  • Ystyriwch ddileu'r neges yn barhaol o'ch ffolder eitemau a anfonwyd.

 Rhannu gwybodaeth bersonol yn ddiogel gan ddefnyddio dyfeisiau electronig cludadwy, e.e. cof bach, Blackberry, iPhone, llechen etc...

Mae'r risg o golled neu ladrata'n arbennig o uchel gyda'r dyfeisiau hyn.  Wrth ddefnyddio dyfeisiau cludadwy, dylid dilyn y gweithdrefnau canlynol:

  • Dylai cyfryngau cludadwy, megis cof bach, gael eu cadw'n ddiogel bob amser a dylid defnyddio meddalwedd amgryptio addas gyda gwybodaeth bersonol;
  • Os yw dyfais wedi'i cholli, neu os ydych yn amau ei bod wedi'i cholli, rhowch wybod ar unwaith i'r Cyfarwyddwr ISS neu Ddirprwy Gyfarwyddwr ISS, a fydd yn cymryd y camau priodol, yn unol â'r Polisi Diogelwch Gwybodaeth  a Pholisi Diogelu Data'r Brifysgol;
  • Dylid dileu'r wybodaeth bersonol o'r ddyfais mewn modd diogel ar ôl ei defnyddio. Nid yw'n dderbyniol storio gwybodaeth bersonol ar ddyfais electronig gludadwy ar ôl y cyfnod amser gofynnol neu angenrheidiol.

 Rhannu gwybodaeth bersonol yn ddiogel drwy'r post (mewnol)

 Cadarnhewch enw ac adran y derbynnydd;

  • Rhowch yr wybodaeth mewn amlen ddwbl a'i selio, gan sicrhau bod y pecynnu'n ddigonol i ddiogelu'r cynnwys yn ystod y broses anfon;
  • Rhowch y geiriau 'Preifat a Chyfrinachol' ar yr amlen fewnol a sicrhewch fod enw ac adran yr anfonwr yn weladwy fel y bydd modd dychwelyd yr wybodaeth os nad oes modd ei danfon;
  • Gwnewch yn siŵr nad oes dim byd ar yr amlen allanol i awgrymu ei bod yn cynnwys gwybodaeth bersonol;
  • Pan fo angen, gofynnwch i'r derbynnydd gadarnhau ei fod wedi derbyn yr wybodaeth;
  • Os nad yw gwybodaeth yn cyrraedd y derbynnydd priodol, dylid rhoi gwybod i Ddesg Gymorth Ystadau drwy ffonio 01792 295240 neu e-bostio wshelpdesk@abertawe.ac.uk.

Rhannu gwybodaeth bersonol yn ddiogel drwy'r post (allanol)

  • Cadarnhewch enw a chyfeiriad y derbynnydd;
  • Rhowch yr wybodaeth mewn amlen ddwbl a'i selio gan sicrhau bod y pecynnu'n ddigonol i ddiogelu'r cynnwys yn ystod y broses anfon;
  • Rhowch y geiriau 'Preifat a Chyfrinachol' ar yr amlen fewnol;
  • Gwnewch yn siŵr nad oes dim ar yr amlen allanol i awgrymu ei bod yn cynnwys gwybodaeth bersonol;
  • Sicrhewch fod cyfeiriad dychwelyd ar yr amlen fewnol a'r amlen allanol rhag ofn bod angen ei dychwelyd am ryw reswm;
  • Pan fo'n briodol, anfonwch yr wybodaeth drwy bost cofnodedig/arbennig;
  • Pan fo angen, gofynnwch i'r derbynnydd gadarnhau ei fod wedi derbyn yr wybodaeth.

 

Cadw a Dinistrio Gwybodaeth Bersonol

Yn ogystal â rhwystro mynediad heb awdurdod, mae yr un mor bwysig i osgoi dinistrio gwybodaeth bersonol trwy ddamwain neu'n rhy gynnar, gan y gallai hynny niweidio buddiannau gwrthrychau data. Ni ddylid dinistrio gwybodaeth bersonol, yn y naill fformat na'r llall, ond yn unol â'r amserlen a gytunwyd ar gyfer cadw'r wybodaeth. Rhaid cymryd gofal i sicrhau bod gweithdrefnau diogelwch addas ar waith ar gyfer dinistrio gwybodaeth bersonol. Dylid malu gwybodaeth ar bapur neu waredu arno yn wastraff cyfrinachol, a dylid sgubo'r cyfan o'r data oddi ar unrhyw ddisg neu gyfrwng electronig arall.

Bydd yr holl wybodaeth bersonol ar unrhyw offer neu gyfryngau cyfrifiadurol sydd i'w gwerthu neu eu sgrapio yn cael ei dinistrio'n gyfan gwbl, trwy ailfformatio, ysgrifennu drosti, neu ddadfagneteiddio. Mae hyn yn cynnwys cyfrifiaduron personol, megis gliniadur neu gyfrifiadur yn y cartref, os bydd y Brifysgol wedi awdurdodi bod gwaith yn cael ei wneud oddi ar y safle.

Prosesyddion Data

Mae'r Ddeddf Diogelu Data'n gosod gofynion penodol ar reolyddion data i sicrhau bod y gweithdrefnau a ddefnyddir wrth i brosesyddion data brosesu data ar eu rhan yn ddigonol i ddiogelu'r data. Pryd bynnag mae gwybodaeth bersonol yn cael ei phrosesu gan gorff allanol ar ran Prifysgol Abertawe, rhaid i'r Brifysgol:

  • Dewis prosesydd data sy'n rhoi digon o sicrwydd o ran ei fesurau diogelwch, yn dechnegol ac yn drefniadol;
  • Cymryd camau rhesymol i sicrhau bod y prosesydd data'n cydymffurfio â'r mesurau hyn; a
  • Sicrhau bod y prosesu'n digwydd yn unol â chontract ysgrifenedig sy'n gofyn na fydd y prosesydd ond yn gweithredu ar sail cyfarwyddiadau oddi wrth Brifysgol Abertawe, ac y bydd y prosesydd yn sicrhau bod ei fesurau diogelwch yn gwarantu cydymffurfio â'r seithfed Egwyddor Diogelu Data.

Gweithio oddi ar y Campws/ Cyngor ar Gyfrineiriau/ Cyngor ar Ddrwgwedd/ Cyngor ar Gopïau Wrth Gefn

Ni ddylid mynd â chofnodion staff na chofnodion myfyrwyr oddi ar y campws oni bai fod hynny'n angenrheidiol er mwyn cynnal busnes y Brifysgol. Ni chaniateir i staff na myfyrwyr fynd ag unrhyw wybodaeth bersonol gyda'r bwriad o brosesu'r data yn rhywle arall oni chydnabyddir ac awdurdodir y fath ddefnydd. Dylid bob amser prosesu data yn unol â Pholisi Diogelu Data'r Brifysgol. Am gyngor penodol ynghylch gweithio oddi ar y campws, a chyngor o ran cyfrineiriau, drwgwedd, a gwneud copïau o ddata, gweler y cyfarwyddyd a gyhoeddwyd gan Wasanaethau Gwybodaeth a Systemau - Dolen i Gyngor Diogelwch Gwybodaeth GGS.

Defnyddio Offer

Rhaid defnyddio offer a ddarperir gan y Brifysgol i brosesu data at ddibenion y Brifysgol yn unig, ac nid at ddibenion preifat. Ni awdurdodir aelodau teulu na neb arall nad yw'n aelod o staff y Brifysgol i ddefnyddio offer a ddarperir gan y Brifysgol. Bydd staff a myfyrwyr yn sicrhau diogelwch digonol yr offer ar bob adeg. Rhaid peidio â gadael offer symudol, neu ddogfennau, heb neb i ofalu amdanynt mewn lle sy'n agored i'r cyhoedd, nac mewn cerbyd oni fydd y cerbyd dan glo a'r offer neu ddogfennau allan o'r golwg. Dim ond pan na fydd dewis amgen y caniateir gadael offer mewn cerbyd, lle nad oes modd cario'r offer.

Terfynu Cyflogaeth

Pan fydd aelod o staff yn gadael cyflogaeth y Brifysgol, neu pan fydd myfyriwr yn gorffen astudio yn y Brifysgol, rhaid dychwelyd neu ddinistrio unrhyw offer sy'n eiddo i'r Brifysgol yn unol â'r canllawiau. Mae hyn yn cynnwys pob dogfen papur neu electronig, pob disg, ac unrhyw gyfryngau eraill sy'n dal gwybodaeth bersonol.