Polisi Diogelu Data - Diogelwch Gwybodaeth Bersonol

Mae'r seithfed Egwyddor Diogelu Data yn gofyn am gymryd camau i sicrhau nad yw gwybodaeth bersonol yn cael ei cholli na'i niweidio, ac y dylid cyfyngu ar fynediad at, a datgelu, gwybodaeth bersonol. Mae gan yr holl staff, myfyrwyr ac ymwelwyr sy'n ymwneud mewn unrhyw ffordd â gwybodaeth bersonol gyfrifoldeb o dan y Ddeddf Diogelu Data i gymryd pob cam posibl i ddiogelu gwybodaeth rhag cael ei cholli, ei dinistrio neu ei datgelu heb awdurdod. Ni ddylid dal gwybodaeth ond yn unol â'r Egwyddorion Diogelu Data fel y'u hamlygir yn y Polisi Diogelu Data.

Ni chaniateir rhannu gwybodaeth a ddysgwyd am unigolion wrth gyflawni swyddogaethau gael ei rhannu â neb (oni fydd gofyn gwneud hynny dan y gyfraith neu at ddibenion busnes y Brifysgol neu â chydsyniad y sawl dan sylw). Byddai datgelu heb awdurdod, hyd yn oed trwy ddamwain, yn drosedd o dan y Ddeddf.

Rhaid i'r Swyddog Cydymffurfio - Gwybodaeth ar gyfer Diogelu Data a Rhyddid Gwybodaeth hysbysu'r Comisiynydd Gwybodaeth am ddisgrifiad a phwrpas yr holl ddata a ddelir gan y Brifysgol er mwyn cydymffurfio â'r Ddeddf. Dylai pob aelod o staff neu fyfyriwr sy'n trin gwybodaeth bersonol gael hyfforddiant digonol o ran defnyddio gwybodaeth bersonol, a rhaid eu hysbysu am y pwrpas a'r amodau datgelu a gofrestrwyd ar gyfer y data hynny. Dylid eu hatgoffa y byddai'n drosedd defnyddio'r wybodaeth at unrhyw ddiben arall. Rhaid hysbysu'r Swyddog Cydymffurfio - Gwybodaeth am unrhyw newid yn yr wybodaeth bersonol a drinnir, a gallai hynny effeithio ar gofrestriad y Brifysgol.

Data Electronig

Rhaid cymryd gofal i sicrhau nad yw cyfrifiaduron neu derfynellau a ddefnyddir i brosesu gwybodaeth bersonol yn weladwy i rai heb awdurdod i weld yr wybodaeth honno, yn arbennig mewn lleoliadau cyhoeddus. Ni ddylid gadael sgrîn heb neb i ofalu amdano os bydd yn dangos gwybodaeth bersonol. Rhaid cymryd gofal arbennig wrth drosglwyddo gwybodaeth bersonol. Dylid cymryd camau diogelwch priodol, megis defnyddio amgryptio a llofnod digidol, wrth anfon gwybodaeth bersonol trwy e-bost. Yn gyffredinol, dylid osgoi anfon gwybodaeth bersonol trwy ffacs.

Ni ddylai defnyddwyr rannu cyfrifiadur oni fydd modd ei ddiogelu trwy gyfrinair ar lefel y defnyddiwr o leiaf. Gallai datgelu neu ddefnyddio cyfrinair heb awdurdod arwain at broses ddisgyblu. Dylid cadw data a chopïau wrth gefn mewn ardal ddiogel briodol.

Mae negeseuon e-bost sy'n cyfeirio at unigolion yn dod o dan y Ddeddf ac mae angen eu datgelu i unigolyn sy'n cyflwyno cais gwrthrych data. Rhaid cymryd gofal gyda chynnwys negeseuon e-bost ac wrth storio negeseuon y gellir eu defnyddio at bwrpas penodol, megis apêl.

Gwybodaeth ar Bapur

Pan nad ydynt yn cael eu defnyddio, dylid cadw ffeiliau sy'n cynnwys gwybodaeth bersonol mewn storfa neu gwpwrdd dan glo nad oes mynediad iddi ond i staff sydd â'r awdurdod priodol. Dylid llunio gweithdrefnau am dynnu ffeiliau o'r storfa ac am eu dychwelyd, fel bod modd olrhain symudiadau ffeiliau. Dylid rhoi ffeiliau mewn storfa ddiogel ar ddiwedd y diwrnod, ac ni ddylid eu gadael ar ddesg dros nos.

Cadw a Dinistrio Gwybodaeth Bersonol

Yn ogystal â rhwystro mynediad heb awdurdod, mae yr un mor bwysig i osgoi dinistrio gwybodaeth bersonol trwy ddamwain neu'n rhy gynnar, gan y gallai hynny niweidio buddiannau gwrthrychau data. Ni ddylid dinistrio gwybodaeth bersonol, yn y naill fformat na'r llall, ond yn unol â'r amserlen a gytunwyd ar gyfer cadw'r wybodaeth. Rhaid cymryd gofal i sicrhau bod gweithdrefnau diogelwch addas ar waith ar gyfer dinistrio gwybodaeth bersonol. Dylid malu gwybodaeth ar bapur neu waredu arno yn wastraff cyfrinachol, a dylid sgubo'r cyfan o'r data oddi ar unrhyw ddisg neu gyfrwng electronig arall.

Bydd yr holl wybodaeth bersonol ar unrhyw offer neu gyfryngau cyfrifiadurol sydd i'w gwerthu neu eu sgrapio yn cael ei dinistrio'n gyfan gwbl, trwy ailfformatio, ysgrifennu drosti, neu ddadfagneteiddio. Mae hyn yn cynnwys cyfrifiaduron personol, megis gliniadur neu gyfrifiadur yn y cartref, os bydd y Brifysgol wedi awdurdodi bod gwaith yn cael ei wneud oddi ar y safle.

Prosesyddion Data

Mae'r Ddeddf Diogelu Data'n gosod gofynion penodol ar reolyddion data i sicrhau bod y gweithdrefnau a ddefnyddir wrth i brosesyddion data brosesu data ar eu rhan yn ddigonol i ddiogelu'r data. Pryd bynnag mae gwybodaeth bersonol yn cael ei phrosesu gan gorff allanol ar ran Prifysgol Abertawe, rhaid i'r Brifysgol:

  • Dewis prosesydd data sy'n rhoi digon o sicrwydd o ran ei fesurau diogelwch, yn dechnegol ac yn drefniadol;
  • Cymryd camau rhesymol i sicrhau bod y prosesydd data'n cydymffurfio â'r mesurau hyn; a
  • Sicrhau bod y prosesu'n digwydd yn unol â chontract ysgrifenedig sy'n gofyn na fydd y prosesydd ond yn gweithredu ar sail cyfarwyddiadau oddi wrth Brifysgol Abertawe, ac y bydd y prosesydd yn sicrhau bod ei fesurau diogelwch yn gwarantu cydymffurfio â'r seithfed Egwyddor Diogelu Data.

Gweithio oddi ar y Campws/ Cyngor ar Gyfrineiriau/ Cyngor ar Ddrwgwedd/ Cyngor ar Gopïau Wrth Gefn

Ni ddylid mynd â chofnodion staff na chofnodion myfyrwyr oddi ar y campws oni bai fod hynny'n angenrheidiol er mwyn cynnal busnes y Brifysgol. Ni chaniateir i staff na myfyrwyr fynd ag unrhyw wybodaeth bersonol gyda'r bwriad o brosesu'r data yn rhywle arall oni chydnabyddir ac awdurdodir y fath ddefnydd. Dylid bob amser prosesu data yn unol â Pholisi Diogelu Data'r Brifysgol. Am gyngor penodol ynghylch gweithio oddi ar y campws, a chyngor o ran cyfrineiriau, drwgwedd, a gwneud copïau o ddata, gweler y cyfarwyddyd a gyhoeddwyd gan Wasanaethau Gwybodaeth a Systemau - Dolen i Gyngor Diogelwch Gwybodaeth GGS.

Defnyddio Offer

Rhaid defnyddio offer a ddarperir gan y Brifysgol i brosesu data at ddibenion y Brifysgol yn unig, ac nid at ddibenion preifat. Ni awdurdodir aelodau teulu na neb arall nad yw'n aelod o staff y Brifysgol i ddefnyddio offer a ddarperir gan y Brifysgol. Bydd staff a myfyrwyr yn sicrhau diogelwch digonol yr offer ar bob adeg. Rhaid peidio â gadael offer symudol, neu ddogfennau, heb neb i ofalu amdanynt mewn lle sy'n agored i'r cyhoedd, nac mewn cerbyd oni fydd y cerbyd dan glo a'r offer neu ddogfennau allan o'r golwg. Dim ond pan na fydd dewis amgen y caniateir gadael offer mewn cerbyd, lle nad oes modd cario'r offer.

Terfynu Cyflogaeth

Pan fydd aelod o staff yn gadael cyflogaeth y Brifysgol, neu pan fydd myfyriwr yn gorffen astudio yn y Brifysgol, rhaid dychwelyd neu ddinistrio unrhyw offer sy'n eiddo i'r Brifysgol yn unol â'r canllawiau. Mae hyn yn cynnwys pob dogfen papur neu electronig, pob disg, ac unrhyw gyfryngau eraill sy'n dal gwybodaeth bersonol.