Polisi Diogelu Data

1. Egwyddorion diogelu data

Mae’r Elusen wedi ymrwymo i brosesu data yn unol â’i chyfrifoldebau o dan y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR).

Mae Erthygl 5 o’r GDPR yn ei gwneud yn ofynnol bod data personol:

  • yn cael ei brosesu’n gyfreithlon, yn deg ac mewn modd tryloyw o ran data unigolion;
  • yn cael ei gasglu at ddibenion penodedig, eglur a chyfreithlon ac nad yw’n cael ei brosesu ymhellach mewn modd sy’n anghydnaws â’r dibenion hynny; ni fydd prosesu pellach at ddibenion archifo er budd y cyhoedd, dibenion ymchwil wyddonol neu hanesyddol neu ddibenion ystadegol yn cael ei ystyried yn anghydnaws â’r dibenion cychwynnol;
  • yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol o ran y dibenion y cânt eu prosesu ar eu cyfer;
  • yn gywir a, lle bo angen, yn cael ei gadw’n gyfredol; rhaid cymryd pob cam rhesymol i sicrhau bod data personol sy’n anghywir, o ystyried y dibenion y cânt eu prosesu ar eu cyfer, yn cael eu dileu neu eu cywiro yn ddi-oed;
  • yn cael ei gadw ar ffurf nad yw’n caniatáu adnabod gwrthrych y data am gyfnod hwy nag sy’n angenrheidiol at y dibenion y mae’r data personol yn cael ei brosesu ar eu cyfer; gellir storio data personol am gyfnodau hwy i’r graddau y bydd y data personol yn cael ei brosesu dim ond at ddibenion archifo er budd y cyhoedd, dibenion ymchwil wyddonol neu hanesyddol neu ddibenion ystadegol, cyn belled ag y gweithredir mesurau technegol a threfniadol priodol sy’n ofynnol gan y GDPR er mwyn diogelu hawliau a rhyddid unigolion; ac
  • yn cael ei brosesu mewn modd sy’n sicrhau diogelwch priodol y data personol, gan gynnwys diogelu yn erbyn prosesu heb awdurdod neu’n anghyfreithlon, ac yn erbyn colli, dinistrio neu ddifrodi damweiniol, drwy ddefnyddio mesurau technegol neu sefydliadol priodol.”

2. Darpariaethau cyffredinol

  • Mae’r polisi hwn yn berthnasol i’r holl ddata personol a brosesir gan yr Elusen.
  • Bydd y Person Cyfrifol yn cymryd cyfrifoldeb am sicrhau bod yr Elusen yn cydymffurfio yn barhaus â’r polisi hwn.
  • Bydd y polisi hwn yn cael ei adolygu o leiaf unwaith y flwyddyn.
  • Bydd yr Elusen yn cofrestru gyda Swyddfa’r Comisiynydd Gwybodaeth fel sefydliad sy’n prosesu data personol.

3. Prosesu cyfreithlon, teg a thryloyw

  • Er mwyn sicrhau bod yr Elusen yn prosesu data yn gyfreithlon, yn deg ac yn dryloyw, bydd yr Elusen yn cadw Cofrestr Systemau.
  • Bydd y Gofrestr Systemau yn cael ei hadolygu o leiaf unwaith y flwyddyn.
  • Mae gan unigolion yr hawl i weld eu data personol, a bydd unrhyw gyfryw geisiadau a wneir i’r elusen yn cael eu trin mewn modd amserol.

4. Dibenion cyfreithlon

  • Rhaid i’r holl ddata a brosesir gan yr elusen gael ei wneud yn ôl un o’r seiliau cyfreithlon canlynol: caniatâd, contract, rhwymedigaeth gyfreithiol, buddiannau hanfodol, tasg gyhoeddus neu fuddiannau cyfreithlon (gweler canllaw’r ICO am ragor o wybodaeth).
  • Bydd yr Elusen yn nodi’r sail gyfreithiol briodol yn y Gofrestr Systemau.
  • Lle dibynnir ar ganiatâd fel sail gyfreithlon ar gyfer prosesu data, bydd tystiolaeth o ganiatâd optio i mewn yn cael ei chadw gyda’r data personol.
  • Lle anfonir cyfathrebiadau at unigolion yn seiliedig ar eu caniatâd, dylai’r opsiwn i’r unigolyn ddirymu ei ganiatâd fod ar gael yn glir, a dylai systemau fod yn eu lle i sicrhau bod y cyfryw ddirymiad yn cael ei amlygu’n gywir yn systemau’r Elusen.

5. Lleihau data

  • Bydd yr Elusen yn sicrhau bod data personol yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol o ran y dibenion y cânt eu prosesu ar eu cyfer.

6. Cywirdeb

  • Bydd yr Elusen yn cymryd camau rhesymol i sicrhau bod data personol yn gywir.
  • Lle bo angen yn ôl y sail gyfreithlon i brosesu data, bydd camau yn cael eu rhoi mewn lle i sicrhau bod data personol yn cael ei gadw’n gyfredol.

7. Archifo / symud

  • Er mwyn sicrhau nad yw data personol yn cael ei gadw am gyfnod hwy nag sydd angen, bydd yr Elusen yn rhoi polisi archifo mewn lle ar gyfer pob maes y mae data personol yn cael ei brosesu, ac yn adolygu’r broses hon yn flynyddol.
  • Bydd y polisi archifo yn ystyried pa ddata y dylid/ rhaid ei gadw, am ba hyd, a pham.

8. Diogelwch

  • Bydd yr Elusen yn sicrhau bod data personol yn cael ei storio’n ddiogel drwy ddefnyddio meddalwedd modern sy’n cael ei gadw’n gyfredol.
  • Bydd mynediad at ddata personol yn gyfyngedig i bersonél sydd angen mynediad, a dylai mesurau diogelwch priodol fod yn eu lle i osgoi rhannu gwybodaeth heb awdurdod.
  • Pan gaiff data personol ei ddileu, dylid gwneud hynny yn ddiogel fel nad oes modd adfer y data hwnnw.
  • Bydd datrysiadau priodol wrth gefn ac adfer ar ôl trychineb yn eu lle.

9. Torri Diogelwch Data

Mewn achos o dorri diogelwch data sy’n arwain at ddinistrio, colli, newid, datgelu neu gyrchu data personol heb awdurdod yn ddamweiniol neu’n anghyfreithlon, bydd yr Elusen yn ddiymdroi yn asesu’r risg i hawliau a rhyddid pobl, ac os yw’n briodol, yn rhoi gwybod am yr achos hwn o dorri diogelwch data i’r ICO (mae rhagor o wybodaeth ar wefan yr ICO).