POL_IG03 Polisi Diogelu Data

Fersiwn: 4
Dyddiad Gweithredol: 01/04/2025
Perchennog y Ddogfen: Prif Swyddog Gweithredol/Swyddog Diogelu Data

---

A yw’r Polisi hwn yn ymwneud â mi: 

• Mae’r polisi hwn yn berthnasol i bob gweithiwr, Aelod, gwirfoddolwr, contractwr, ymgynghorydd neu bartner yr Awdurdod sydd â mynediad at unrhyw ddata personol a gedwir ar ran yr Awdurdod.

---

Cyfeirnod Cyflym – Negeseuon Allweddol y Polisi: 

• Nodi sut mae’r Awdurdod yn cydymffurfio â deddfwriaeth Diogelu Data a saith egwyddor allweddol diogelu data yn ei weithrediadau a’i broses gwneud penderfyniadau.
• Yn gosod ein gofynion o ran preifatrwydd data trwy ddylunio, hawliau gwrthrych data, rhannu data, prosesu trydydd parti a tor diogelwch data.

---

Mae’r Ddogfen hon hefyd ar gael yn Saesneg.

---

Cynnwys

• Datganiad Polisi
• Nod y Polisi
• Cwmpas y Polisi
• Diffiniadau
• Deddfwriaeth
• Yr Egwyddorion Diogelu Data
• Preifatrwydd Data drwy Ddylunio (ac yn ddiofyn)
• Hawliau Gwrthrych y Data
• Rhannu Data / Prosesu gan Drydydd Parti
• Torri Diogelwch Data
• Gofynion Ymdrin â Chwynion
• Deallusrwydd Artiffisial a Diogelu Data
• Rolau a Chyfrifoldebau
• Monitro a Sicrwydd
• Polisïau a Gweithdrefnau Gweithredol Cysylltiedig
• Rheoli Polisi

---

1.  Datganiad Polisi

1.1 Mae cyfundrefn diogelu data y DU wedi’i nodi yn Neddf Diogelu Data 2018, ynghyd â Rheoliad Cyffredinol y DU ar Ddiogelu Data. Rhaid i Awdurdod Parc Cenedlaethol Arfordir Penfro (Yr Awdurdod) gydymffurfio â’r ddeddfwriaeth hon wrth brosesu data personol ac yn ei rôl fel rheolwr data. Data personol yw gwybodaeth sy’n ymwneud â bod dynol a adnabyddir neu y gellir ei adnabod. Gall hyn fod yn unrhyw un, gan gynnwys cwsmer, cleient, gweithiwr, partner, Aelod, cefnogwr, cyswllt busnes, swyddog cyhoeddus, neu aelod o’r cyhoedd.

1.2 Yn syml, gallai data personol fod yn enw neu’n rhif neu gallai gynnwys dynodwyr eraill megis cyfeiriad Protocol y Rhyngrwyd neu ddynodydd cwci, neu ffactorau eraill.

1.3 Os yw’n bosibl adnabod unigolyn yn uniongyrchol o’r wybodaeth sy’n cael ei phrosesu, yna gall y wybodaeth honno fod yn ddata personol. Fodd bynnag, gall fod yn bosibl eich bod yn gallu adnabod unigolyn yn anuniongyrchol, megis drwy gyfuno’r wybodaeth â gwybodaeth arall. Lle bo hyn yn wir, gall hefyd fod yn ddata personol.

1.4 Mae’r Polisi hwn yn ceisio diogelu hawliau a phreifatrwydd bodau dynol a sicrhau nad yw data personol (sy’n berthnasol i bob gwybodaeth berthnasol a gedwir ar systemau TG a phob data perthnasol ar bapur) yn cael ei brosesu heb yn wybod iddynt, a lle bynnag y bo hynny’n berthnasol, yn cael ei brosesu â’u cydsyniad

• • Er mwyn cydymffurfio â’r rheoliadau, rhaid casglu a defnyddio gwybodaeth am unigolion yn deg â sail gyfreithlon, ei storio’n ddiogel a pheidio â’i datgelu’n anghyfreithlon i unrhyw drydydd parti
  • Yn ogystal â’r gofynion rheoliadol sy’n ymwneud â diogelu data personol, mae’r polisi hwn yn manylu ar y modd y dylid rheoli gwybodaeth arall.
  • Mae’r Awdurdod yn ymdrechu i sicrhau ei fod yn cyflawni canlyniadau teg i’w gwsmeriaid ac i’w weithwyr a’i wirfoddolwyr. Ni fydd yr Awdurdod yn ymwybodol, nac yn fwriadol yn torri unrhyw gyfreithiau neu reoliadau cymwys sy’n berthnasol i gynnal ei weithgareddau busnes.
  • Mae’r Awdurdod wedi ymrwymo i’r safonau uchaf o ymddygiad moesegol ac uniondeb yn ei weithgareddau busnes, ac mae’n ymroddedig i weithredu mewn modd agored a gonest wrth ddelio â chwsmeriaid, gweithwyr a gwirfoddolwyr.
  • Dylai’r Polisi hwn gael ei ddarllen ar y cyd â’r gyfres ehangach o bolisïau cydymffurfio sydd, gyda’i gilydd, yn rhoi strwythur i weithwyr a gwirfoddolwyr weithio o’i fewn i sicrhau eu bod yn parhau i gydymffurfio â’r Polisi.
  • Nid yw’r Polisi hwn yn cynnwys set gynhwysfawr o ofynion. Felly dylai gweithwyr, gwirfoddolwyr, Aelodau a Chontractwyr yr Awdurdod bob amser gydymffurfio ag ysbryd y Polisi hwn, a phrif nod y Polisi yw diogelu’r Data Personol a gedwir gan yr Awdurdod
  • Gellir cael golwg ar y Canllawiau Diogelu Data a’r gweithdrefnau manwl ar gyfer gweithwyr a gwirfoddolwyr ar fewnrwyd yr Awdurdod, ac mae gweithdrefnau adrannol ar gael gan yr Arweinyddion Tîm a’r penaethiaid meysydd gwasanaeth perthnasol. Mae arfer gorau ac arweiniad arbenigol ar gael ar Wefan Swyddfa’r Comisiynydd Gwybodaeth.

1.5 Prin iawn yw parodrwydd yr Awdurdod i dderbyn risg am dorri’r polisi hwn a phob gweithdrefn gysylltiedig. Gall torri’r polisi hwn gael effaith sylweddol ar gwrthrych y data ac agor yr Awdurdod i gamau rheoleiddio a chosbau.

---

2. Nod y Polisi

2.1 Nod y Polisi hwn yw gweithredu egwyddorion pob deddfwriaeth Diogelu Data berthnasol o fewn yr Awdurdod.

---

3. Cwmpas y Polisi

3.1 Mae’r polisi hwn yn berthnasol i bob gweithiwr, Aelod, gwirfoddolwr, defnyddiwr gwasanaeth, contractwr, ymgynghorydd, cydweithredwr a phartner yr Awdurdod wrth gasglu a phrosesu data personol.

3.2 Yr Awdurdod sy’n berchen ar y Polisi, ac mae’r atebolrwydd yn cael ei ddirprwyo i’r Prif Weithredwr. Mae’r gweithgareddau llywodraethu a goruchwylio perthnasol yn cael eu dirprwyo i’r Swyddog Diogelu Data.

---

4. Diffiniadau

4.1 Yr Awdurdod – Awdurdod Parc Cenedlaethol Arfordir Penfro ac unrhyw bersonau yn yr Awdurdod sy’n prosesu Data Personol

4.2 Deddfwriaeth Diogelu Data – Pob deddfwriaeth diogelu data berthnasol, codau ymarfer Swyddfa’r Comisiynydd Gwybodaeth sy’n berthnasol i’r Awdurdod, gan gynnwys Deddf Diogelu Data 2018, Rheoliad Cyffredinol y DU ar Ddiogelu Data, Rheoliadau Preifatrwydd a Chyfathrebiadau Electronig 2003, a’r Gyfarwyddeb ar Breifatrwydd a Chyfathrebiadau Electronig (y Gyfarwyddeb e-Breifatrwydd).

4.3 Gwrthrych y Data – Unigolyn sy’n destun unrhyw Ddata Personol

4.4 Rheolwr Data – Yn pennu dibenion a dulliau prosesu data personol. Gall fod yn berson naturiol neu gyfreithiol, awdurdod cyhoeddus, asiantaeth neu gorff arall. Yn penderfynu beth i’w wneud â data personol. Yn gyfrifol am sicrhau cydymffurfiaeth â deddfau diogelu data. Yr Awdurdod yw’r rheolwr data. Mewn rhai achosion byddwn yn Rheolwr Data ar y Cyd wrth weithio gyda sefydliadau a phartneriaid eraill.

4.5 Proseswyr Data – Person naturiol neu gyfreithiol, awdurdod cyhoeddus, asiantaeth neu gorff arall sy’n prosesu data personol ar ran y rheolwr. Er enghraifft, mae’r Awdurdod yn defnyddio proseswyr data trydydd parti wrth ymgysylltu â darparwyr gwasanaethau cwmwl ar gyfer meddalwedd neu wrth weithio gydag ymgynghorwyr ar brosiectau penodol.

4.4 DPIA – Asesiad o’r Effaith ar Breifatrwydd Data

4.5 Cydsyniad Penodol – Pan ofynnir i Wrthrych y Data gydsynio drwy ymateb ‘Ydw’ neu ‘Nac ydw’ i’r hyn sydd wedi’i ddiffinio’n glir

4.6 Swyddog Diogelu Data – Yr unigolyn yn y sefydliad sydd â goruchwyliaeth dros gydymffurfio â diogelu data

4.7 GDPR – Rheoliadau Cyffredinol y DU ar Ddiogelu Data

4.8 Swyddfa’r Comisiynydd Gwybodaeth – Swyddfa’r Comisiynydd Gwybodaeth yw rheoleiddiwr y DU sy’n gyfrifol am oruchwylio a gorfodi deddfwriaeth Diogelu Data

4.9 Data Personol – Data sy’n ymwneud â bod dynol

4.10 Polisi – Y Polisi Diogelu Data

4.11 Egwyddorion – Y saith Egwyddor Diogelu Data a amlinellir yn y Ddeddfwriaeth Diogelu Data

---

5. Deddfwriaeth

5.1 Nod y polisi hwn yw bodloni rheoliadau diogelu data perthnasol yn y DU sef:

• • Rheoliadau Cyffredinol y DU ar Ddiogelu Data (GDPR)
  • Deddf Diogelu Data y DU 2018
  • Rheoliadau Preifatrwydd mewn Cyfathrebu Electronig (PECR) 2003, a ddiweddarwyd yn y bil e-breifatrwydd ar y 25ain o Fai 2018

5.2 Mae Prosesu Data yn y DU yn cael ei reoleiddio gan Swyddfa’r Comisiynydd Gwybodaeth, ac mae Awdurdod Parc Cenedlaethol Arfordir Penfro (yr Awdurdod) wedi’i gofrestru gyda Swyddfa’r Comisiynydd fel Rheolwr Data, rhif cofrestru Z6910336.

5.3 Bydd y polisi hwn yn cael ei ddiweddaru yn unol ag unrhyw newidiadau a wneir i’r Rheoliadau uchod neu Reoliadau cysylltiedig.

---

6. Yr Egwyddorion Diogelu Data

6.1 Mae 7 egwyddor allweddol yn ymwneud â phrosesu data personol:

1. 1. Cyfreithlondeb, Tegwch a Thryloywder – Dylid prosesu data yn gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas â gwrthrych y data.
   2. Cyfyngu’r Diben – Dylid casglu data at ddiben penodol, eglur a chyfreithlon ac ni ddylid prosesu’r data eto fyth mewn modd sy’n anghydnaws â’r dibenion hynny.
   3. Lleihau’r Data – Dylai data fod yn ddigonol, yn berthnasol ac wedi’i gyfyngu i’r hyn sy’n angenrheidiol mewn perthynas â’r dibenion y prosesir y data ar eu cyfer.
   4. Cywirdeb y Data – Dylai’r data fod yn gywir, a lle bo angen, dylid ei ddiweddaru; rhaid cymryd pob cam rhesymol i sicrhau bod data personol anghywir, gan ystyried y diben y prosesir y data ar ei gyfer, yn cael ei ddileu neu ei gywiro yn ddi-oed.
   5. Cyfyngiadau Storio – Dylid cadw data ar ffurf sy’n caniatáu adnabod gwrthrych y data am ddim hwy nag sy’n angenrheidiol at y dibenion y prosesir y data ar eu cyfer.
   6. Uniondeb a chyfrinachedd – Dylid prosesu data mewn modd sy’n sicrhau bod y data personol yn cael ei ddiogelu’n briodol, gan gynnwys ei ddiogelu rhag cael ei brosesu heb awdurdod neu’n anghyfreithlon a rhag cael ei golli, ei ddinistrio neu ei ddifrodi yn ddamweiniol drwy ddefnyddio mesurau technegol neu sefydliadol priodol.
   7. Atebolrwydd – Mae hyn yn sail i bob egwyddor arall. Rhaid i sefydliadau gymryd cyfrifoldeb am breifatrwydd a diogelwch pob data personol y maent yn ei brosesu.

6.2  O ran y 7 egwyddor allweddol ar gyfer prosesu data personol; –

• • Mae’r Awdurdod yn gyfrifol am gydymffurfio â’r amodau hyn, ac mae’n rhaid iddo allu dangos hynny i Swyddfa Comisiynydd Gwybodaeth y DU. Gallai methu â chydymffurfio â deddfau, rheolau a rheoliadau cymwys arwain at sancsiynau cyfreithiol neu reoleiddiol, colled ariannol sylweddol neu golli enw da i’r Awdurdod ac arwain at anfantais i gwsmeriaid / Aelodau.
  • Gall torri’r Polisi hwn fod yn fater disgyblu, cytundebol a throseddol i’r unigolion dan sylw, a gall achosi niwed difrifol i enw da a statws yr Awdurdod.
  • Gall yr Awdurdod wynebu atebolrwydd troseddol am gamau anghyfreithlon a gymerir gan ei weithwyr, ei Aelodau a’i wirfoddolwyr.
  • Cyfrifoldeb pob gweithiwr, Aelod a gwirfoddolwr yw cydymffurfio â’r polisi.

6.3 Cyfreithlondeb, tegwch a thryloywder

6.3.1 Sail gyfreithlon dros brosesu data personol

Ni chaniateir prosesu data personol oni bai bod un o’r canlynol yn gymwys;

• • • Gwneir y prosesu gyda chydsyniad penodol gwrthrych y data.
    • Mae angen y prosesu ar gyfer darparu ein gwasanaeth neu gyflawni contract.
    • Mae angen y prosesu er mwyn cydymffurfio â chamau cyfreithiol.
    • Mae angen y prosesu i ddiogelu buddiannau hanfodol gwrthrych y data neu fod dynol arall.
    • Mae angen y prosesu i gyflawni tasg a wneir er budd y cyhoedd.
    • Mae angen y prosesu at ddiben y buddiannau dilys.

Wrth ddefnyddio sail gyfreithlon buddiant dilys, dylid cwblhau ‘Asesiad o Fuddiant Dilys’ i sicrhau y gellir dangos y buddiant.

6.3.2 Gofynion Cael Cydsyniad Gwrthrych y Data

Lle mae’r prosesu yn seiliedig ar gydsyniad; –

• • • Rhaid i’r Awdurdod allu dangos bod gwrthrych y data wedi cydsynio i brosesu data personol.
    • Os rhoddir cydsyniad gwrthrych y data yng nghyd-destun datganiad ysgrifenedig, sydd hefyd yn ymwneud â materion eraill, rhaid cyflwyno’r cais am gydsyniad mewn modd sy’n amlwg ar wahân i faterion eraill, ar ffurf ddealladwy a hawdd ei gyrraedd, drwy ddefnyddio iaith glir a phlaen.
    • Rhaid bod gan wrthrych y data hawl i dynnu ei gydsyniad yn ôl ar unrhyw adeg. Ni fydd tynnu cydsyniad yn ôl yn effeithio ar gyfreithlondeb prosesu yn seiliedig ar gydsyniad cyn ei dynnu’n ôl. Cyn rhoi cydsyniad, rhoddir gwybod i wrthrych y data am hyn.
    • Gofynnir i unrhyw berson y bydd ei fanylion (gan gynnwys ffotograffau) yn cael eu defnyddio i hyrwyddo gwaith yr Awdurdod mewn cyhoeddiadau, ar wefannau ac ar y cyfryngau cymdeithasol, roi ei gydsyniad. Ar adeg cynnwys neu gasglu’r wybodaeth, bydd pob cyfryw unigolyn yn cael gwybod yn briodol am ganlyniadau bod ei ddata yn cael ei ledaenu y tu allan i’r DU.
    • Mae ffotograffau yn helpu staff i ddangos pa mor eang yw eu gwaith, a defnyddir ffotograffau at ddibenion cyhoeddusrwydd wrth hyrwyddo gwaith yr Awdurdod. Dylai ffotograffau a fideos lle mae modd adnabod pobl gael eu storio yn ofalus, gyda’r cydsyniad ynghlwm neu wedi’i groesgyfeirio. Dylai’r cyfranogwyr fod yn ymwybodol o’r modd y bydd yr Awdurdod yn defnyddio delweddau y maent yn ymddangos ynddynt wrth roi eu cydsyniad. Dylai’r staff ddilyn canllawiau’r Awdurdod wrth dynnu lluniau o dyrfaoedd o bobl lle nad oes angen cydsyniad o bosibl.
    • Dylid cymryd gofal arbennig mewn perthynas â chymryd, storio a defnyddio ffotograffau o blant, pobl ifanc ac oedolion agored i niwed. Dylai gweithwyr ddilyn y canllawiau a ddarperir ar dynnu lluniau a delweddau symudol at ddibenion gwaith yn y datganiad gan yr Awdurdod ar fesurau diogelu.

6.3.3 Data Categori Arbennig

Mae Categorïau o Ddata Arbennig yn fwy sensitif ac felly’n haeddu mesurau ychwanegol o ddiogelu. Mae’r canlynol yn gategorïau arbennig o ddata fel y’u diffinnir yn Rheoliadau Cyffredinol y DU ar Ddiogelu Data:

• • • tarddiad hiliol neu ethnig
    • barn wleidyddol
    • credoau crefyddol neu athronyddol
    • aelodaeth o undeb llafur
    • prosesu data genetig, data biometreg at ddibenion unigryw adnabod bod dynol
    • data yn ymwneud ag iechyd
    • data yn ymwneud â bywyd rhywiol neu gyfeiriadedd rhywiol bod dynol

Er mwyn prosesu Data Categori Arbennig, yn ogystal â sefydlu’r sail gyfreithlon, rhaid i un o’r ‘amodau ar gyfer prosesu’ canlynol fod yn gymwys:

(a) Cael cydsyniad penodol
(b) Bod angen prosesu at ddibenion cyflogaeth, nawdd cymdeithasol a diogelu cymdeithasol (os yw wedi’i awdurdodi yn ôl y gyfraith)
(c) I amddiffyn buddiannau hanfodol gwrthrych y data neu fod dynol arall
(ch) Yn cael ei wneud gan gorff nid-er-elw
(e) Wedi’i wneud yn gyhoeddus gan wrthrych y data
(f) Yn angenrheidiol ar gyfer hawliadau cyfreithiol neu weithredoedd barnwrol
(g) Am resymau er budd sylweddol y cyhoedd (gyda sail yn y gyfraith)
(h) Iechyd neu ofal cymdeithasol (gyda sail yn y gyfraith)
(i) Iechyd y cyhoedd (gyda sail yn y gyfraith)
(j) Archifo, ymchwil ac ystadegau (gyda sail yn y gyfraith)

Lle dibynnir ar gydsyniad penodol, rhaid cadw’r cofnod o’r cydsyniad penodol

6.3.4 Tryloywder

Mae’r Awdurdod yn delio â’i rwymedigaethau i hysbysu gwrthrych y data drwy ei Hysbysiad Preifatrwydd (y cyfeirir ato weithiau fel Polisi Preifatrwydd). Mae hysbysiad preifatrwydd yr Awdurdod ar gael ar wefan yr Awdurdod.

Pan gesglir data personol sy’n ymwneud â gwrthrych y data oddi wrth y gwrthrych data, rhaid i’r Awdurdod, adeg casglu’r data personol, roi’r wybodaeth ganlynol i wrthrych y data; –

• • • Hunaniaeth a manylion cyswllt y sawl sy’n casglu’r data e.e. Awdurdod Parc Cenedlaethol Arfordir Penfro (yr Awdurdod).
    • Manylion cyswllt y Swyddog Diogelu Data lle bo hynny’n briodol.
    • Dibenion y prosesu yn ogystal â’r sail gyfreithiol i’r prosesu.
    • Lle bo’r prosesu wedi’i seilio ar fuddiannau cyfreithlon, nodi beth yw’r buddiant hwnnw.
    • Y derbynwyr trydydd parti neu’r categorïau o dderbynwyr.
    • Y cyfnod y bydd y data personol yn cael ei storio (neu os nad yw hyn yn ymarferol bosibl, noder y meini prawf a ddefnyddir i bennu’r cyfnod cadw).
    • Bodolaeth yr hawl i wrthrych y data ofyn i’r Awdurdod am fynediad at, a chywiro, neu ddileu data personol, neu gyfyngu ar brosesu sy’n ymwneud â gwrthrych y data, neu wrthwynebu prosesu yn ogystal â’r hawl i gludadwyedd data (mae’r hawl i ddileu yn gyfyngedig pan fo gan yr Awdurdod reswm dilys a chyfreithlon i gadw data).
    • Pan fo prosesu data yn seiliedig ar gydsyniad, bodolaeth hawl gwrthrych y data i dynnu ei gydsyniad yn ôl ar unrhyw adeg, heb effeithio ar gyfreithlondeb prosesu sy’n seiliedig ar gydsyniad cyn ei dynnu’n ôl.
    • Hawl gwrthrych y data i gyflwyno cwyn i awdurdod goruchwylio (e.e. Swyddfa’r Comisiynydd Gwybodaeth).
    • P’un a yw darparu data personol yn ofyniad statudol neu gontractiol, neu’n ofyniad sy’n angenrheidiol i ymrwymo i gontract, hefyd p’un a yw’n rhwymedig ar wrthrych y data i ddarparu’r data personol ac i ganlyniadau posibl methu â darparu’r cyfryw ddata.
    • Bodolaeth unrhyw benderfyniadau awtomataidd, gan gynnwys proffilio, ynghyd â’r arwyddocâd a’r canlyniadau a ragwelir.
    • Pan ddefnyddir y data at ddiben heblaw’r diben y casglwyd y data personol ar ei gyfer, rhaid i’r Awdurdod hefyd roi cadarnhad i wrthrych y data o’r defnydd hwn cyn y prosesu pellach hwnnw.

Darperir y wybodaeth hon yn ysgrifenedig neu drwy ddulliau eraill, gan gynnwys lle bo hynny’n briodol ac yn ymarferol, dulliau electronig. Pan ofynnir am hynny gan wrthrych y data, gellir darparu’r wybodaeth ar lafar, cyn belled â bod hunaniaeth gwrthrych y data yn cael ei phrofi drwy ffyrdd eraill.

6.4 Cyfyngu’r Diben

6.4.1 Rhaid i’r Awdurdod, ei weithwyr, Aelodau a gwirfoddolwyr gasglu a phrosesu data personol at y diben a bennir yn y man casglu yn unig. Pan ddefnyddir y data at ddiben heblaw’r hyn y cafodd ei gasglu ar ei gyfer, rhaid i’r Awdurdod roi cadarnhad o hyn i wrthrych y data, cyn unrhyw brosesu pellach.

6.5 Lleihau’r Data

6.5.1 Dim ond i’r graddau y mae ei angen i ddiwallu anghenion gweithredol, neu i gydymffurfio ag unrhyw ofynion cyfreithiol, y bydd yr Awdurdod yn casglu, prosesu a chreu cofnodion sy’n cynnwys data personol. Bydd prosesu neu greu’r cyfryw gofnodion yn:

• • Galluogi gweithwyr, Aelodau a gwirfoddolwyr i gyflawni eu gweithgareddau gwaith yn gyson, â gwybodaeth lawn am y prosesau, y penderfyniadau a’r camau gweithredu sy’n llywio ac yn gyrru’r modd y darperir gwasanaethau cyflawn yr Awdurdod.
  • Sicrhau bod tystiolaeth gredadwy ac awdurdodol ar gael i ddiogelu hawliau’r Awdurdod, ei weithwyr, ei wirfoddolwyr a’i gwsmeriaid.
  • Dangos atebolrwydd drwy ddarparu’r dystiolaeth a’r wybodaeth sy’n ofynnol ar gyfer unrhyw archwiliad mewnol neu allanol.
  • Sicrhau bod yr holl gofnodion yn gyfredol ac yn gywir.
  • Sicrhau mai dim ond data perthnasol sy’n cael ei gadw, ac nad yw’r data personol a gesglir yn ormodol.

6.6 Cywirdeb y Data

6.6.1 Rhaid i ddata personol a brosesir gan yr Awdurdod fod yn gywir ac yn gyfredol. Rhaid cymryd pob cam rhesymol i sicrhau bod data personol sy’n anghywir yn cael ei ddileu neu ei gywiro’n ddi-oed. Mae gan wrthrychau’r data yr hawl i gywiro unrhyw ddata anghywir ar unrhyw adeg.

6.7 Cyfyngiadau storio

6.7.1 Cadw a Gwaredu Data

Mae gan yr Awdurdod Amserlen Cadw Data a Pholisi Rheoli a Chadw Cofnodion ar waith i gefnogi gweithredu arferion rheoli a chadw cofnodion effeithiol. Rhaid cadw at Amserlenni Cadw Data yr Awdurdod; –

• • • Mae cadw data am fwy o amser nag sy’n angenrheidiol yn golygu torri’r rheoliadau.
    • Mae’r perchnogion data yn yr Awdurdod yn penderfynu ac yn dogfennu’r broses i sicrhau y cedwir at yr amserlenni cadw data.
    • Rhaid cael gwared ar ddata yn unol â hynny unwaith y bydd yn cyrraedd diwedd ei gyfnod cadw.
    • Mae prosesau’r Awdurdod sy’n gysylltiedig â’r Polisi hwn yn cynnwys y modd y mae’r arferion hyn yn cael eu monitro.
    • Rhaid dileu neu waredu data cyfrinachol a phersonol yn ddiogel ac yn barhaol ar ôl cyrraedd y gofynion cadw a rhaid eu gwaredu mewn ffordd sy’n diogelu hawliau a phreifatrwydd gwrthrych y data.
    • Mae’r holl ddata cyfrinachol a phersonol i’w rwygo a’i waredu fel ‘gwastraff cyfrinachol’. Rhaid cael gwared ar y gyriannau caled a’r cyfryngau cludadwy yn ddiogel yn ôl yr angen.

6.7.2 Bydd data personol diangen yn cael ei ddinistrio drwy ddefnyddio gweithdrefn yr Awdurdod ar waredu gwastraff cyfrinachol a dileu data electronig. Bydd cymalau o fewn contractau gyda phroseswyr data y mae’r Awdurdod yn eu defnyddio yn cynnwys y gofyniad i ddileu neu ddychwelyd yr holl ddata personol at y rheolwr yn ôl y gofyn ar ddiwedd y contract.

6.8 Diogelwch Data

6.8.1 Mae gan yr Awdurdod fesurau diogelwch, technegol a sefydliadol priodol yn erbyn prosesu data personol yn anghyfreithlon neu heb awdurdod, ac yn erbyn colli, neu ddifrodi data personol yn ddamweiniol. Ymhlith y mesurau sy’n sicrhau lefel y diogelwch sy’n briodol i risgiau prosesu data personol mae’r canlynol; –

• • Y gallu i sicrhau cyfrinachedd, uniondeb, argaeledd a chadernid parhaus y systemau a’r gwasanaethau prosesu.
  • Y gallu i adfer argaeledd a mynediad at ddata personol mewn modd amserol os bydd digwyddiad ffisegol neu dechnegol.
  • Cynnal proses o brofi, asesu a gwerthuso effeithiolrwydd y mesurau technegol a sefydliadol yn rheolaidd i sicrhau diogelwch Prosesu Data.
  • Rhoi data dan ffugenw ac amgryptio data pan a lle bo hynny’n briodol.

6.8.2 Mae gan yr Awdurdod Bolisi Defnyddiwr TGCh a Pholisi Diogelwch Gwybodaeth a Data y dylid ei ddarllen ar y cyd â’r Polisi hwn.

6.8.3 Gofynion Dienw

Dienw yw’r broses o droi data yn ffurf nad yw’n adnabod unigolion a lle mae adnabod yn debygol o ddigwydd.

Rhaid i ddata personol fod yn ddienw os yw am gael ei ddefnyddio at ddiben heblaw am yr hyn y cafodd ei gasglu pan gafwyd cydsyniad (e.e. dadansoddi data, profi system neu hyfforddiant).

6.9 Atebolrwydd

6.9.1 Mae’r Awdurdod yn cymryd atebolrwydd yn gwbl o ddifrif ac o’r herwydd mae’n sicrhau bod mesurau sefydliadol a thechnegol priodol yn cael eu gweithredu a’u hadolygu’n barhaus.

• • Mae atebolrwydd yn y pen draw am Breifatrwydd Data yn gorwedd ar ysgwyddau Prif Weithredwr yr Awdurdod sy’n bersonol gyfrifol i’r Awdurdod.
  • Mae pob gweithiwr, Aelod a gwirfoddolwr yn unigol gyfrifol am sicrhau eu bod yn cydymffurfio â pholisïau a gweithdrefnau’r Awdurdod sy’n ymwneud â phreifatrwydd data.
  • Mae Llywodraethu Preifatrwydd Data yn cael ei ddirprwyo i Swyddog Diogelu Data yr Awdurdod.
  • Rhaid bod gan Swyddog Diogelu Data yr Awdurdod brofiad addas a gwybodaeth arbenigol o’r gyfraith ar ddiogelu data, ynghyd â gwybodaeth am anghenion diogelu data a gweithgareddau prosesu yr Awdurdod.
  • Mae’n bwysig nodi nad yw’r Swyddog Diogelu Data yn bersonol atebol am gydymffurfio â diogelu data. Mae’r Awdurdod yn parhau i fod yn gyfrifol ac yn atebol am gydymffurfio o dan y ddeddfwriaeth diogelu data.

6.9.2 Hyfforddiant

Bydd pob gweithiwr, Aelod, gwirfoddolwr a chontractwr perthnasol yn cael hyfforddiant sy’n amlinellu eu cyfrifoldebau a nodir yn y Polisi hwn. Rhaid i bob gweithiwr, Aelod, gwirfoddolwr a chontractwr perthnasol ymgymryd â’r hyfforddiant hwn adeg eu sefydlu yn yr Awdurdod, ac wedi hynny, bydd angen hyfforddiant gloywi yn barhaus (bob blwyddyn fel arfer).

6.9.3 Dogfennaeth

Mae’r Awdurdod yn cadw dogfennau yn dystiolaeth i ddangos ei fod yn cydymffurfio â’r Rheoliadau. Mae hyn yn cynnwys Cofnodion Prosesu, Polisïau, Gweithdrefnau a logiau.

Mae pob dogfen yn destun cyfnod adolygu. Rhaid i bob gweithiwr sy’n prosesu data personol gael mynediad at y dogfennau polisïau a’r gweithdrefnau a chael gwybod beth ydynt, y diben sydd i’r dogfennau hyn, a rhaid eu hyfforddi ar sut i’w defnyddio (pan/lle bo hynny’n berthnasol). Dylai’r cyfryw ddogfennau fod ar gael, fel sy’n berthnasol, drwy fewnrwyd yr Awdurdod/ffolderi y rhennir mynediad atynt.

---

7. Preifatrwydd Data drwy Ddylunio (ac yn ddiofyn)

7.1 Mae Deddf Diogelu Data 2018 (sy’n dod â’r Rheoliad Cyffredinol ar Ddiogelu Data i rym) yn ei gwneud yn ofynnol i’r Awdurdod ymgorffori pryderon am ddiogelu data ym mhob agwedd ar ei weithgareddau prosesu. Y dull hwn yw ‘diogelu data drwy ddylunio ac yn ddiofyn’ sy’n elfen allweddol o ddulliau Deddf Diogelu Data 2018 sy’n seiliedig ar risg a’i ffocws ar atebolrwydd, h.y. gallu’r Awdurdod i ddangos sut mae’n cydymffurfio â gofynion preifatrwydd data.

7.2 Asesiadau o’r Effaith ar Breifatrwydd Data (DPIA)

7.2.1 Mae’r Asesiadau hyn yn broses sydd wedi’i dogfennu ac sy’n helpu sefydliadau i glustnodi a lleihau risgiau o ran preifatrwydd data prosiectau neu newidiadau i brosesau, a dylid eu defnyddio drwy gydol y broses o ddatblygu a gweithredu prosiect / newid.

• • Mae’r Asesiadau yn galluogi’r Awdurdod i asesu sut y gall prosiect neu newid effeithio’n systematig ar breifatrwydd unigolion sy’n cymryd rhan.
  • Dylid cymhwyso’r Asesiadau i brosiectau newydd i ganiatáu cwmpas mwy eang ar gyfer anghenion y prosiect gael ei weithredu, a dylid defnyddio’r Asesiadau hefyd wrth gynllunio newidiadau i system bresennol neu broses ‘busnes fel arfer’.
  • Dylai’r Asesiadau sicrhau bod risgiau preifatrwydd yn cael eu cadw i’r lleiafswm, gan ganiatáu i’r prosiect / newid gyflawni ei amcanion.
  • Gellir clustnodi risgiau yn gynnar yn y prosiect / newid drwy asesu sut y bydd data yn cael ei ddefnyddio (risgiau i wrthrychau’r data megis y posibilrwydd o niwed neu drallod).
  • Dylai’r Asesiadau hefyd asesu risgiau corfforaethol / masnachol i’r Awdurdod, megis effeithiau ariannol ac i enw da mewn achos o dorri diogelwch data sy’n deillio o’r prosiect (mae prosiectau risg uwch sy’n debygol o fod yn fwy ymwthiol yn debygol o gael effaith uwch ar breifatrwydd).

7.2.2 Ni ddylai’r broses Asesiadau fod yn rhy gymhleth nac yn cymryd llawer o amser, ond mae disgwyliadau y bydd lefel benodol o drylwyredd yn gymesur â’r risgiau preifatrwydd sy’n deillio o’r prosiect neu newid sy’n cael ei adolygu. Mae gan yr Awdurdod broses wedi’i dogfennu a thempled Asesiadau y dylid ei defnyddio ac sydd ar gael ar fewnrwyd yr Awdurdod.

---

8. Hawliau Gwrthrych y Data

8.1 Mae’r Awdurdod yn cynnal gweithdrefnau priodol i hwyluso gwrthrych y data sy’n arfer ei hawliau. Ni fydd yn gwrthod gweithredu ar geisiadau gan wrthrych y data sy’n arfer ei hawliau, oni bai bod yr Awdurdod yn gallu dangos nad ydynt yn gallu adnabod gwrthrych y data.

8.2 Mae gan wrthrych y data hawl i:

• • Gael gwybod am y gweithgareddau prosesu data.
  • Cael mynediad at y wybodaeth sydd gan yr Awdurdod amdano (gwelwer 8.3 Ceisiadau Gwrthrych am Fynediad at Ddata).
  • Cael y manylion wedi’u cywiro os bernir eu bod yn anghywir.
  • Cael y manylion wedi’u dileu os nad oes eu hangen am resymau cyfreithlon.
  • Cyfyngu ar brosesu ei ddata personol.
  • Gwrthwynebu bod ei ddata yn cael ei brosesu.
  • Bod gwybodaeth sy’n cael ei phrosesu yn awtomataidd yn cael ei hanfon ato (neu Reolwr Data arall a enwebir ganddo) mewn fformat hawdd ei ddarllen a ddefnyddir yn gyffredin.
  • Rhai darpariaethau ynghylch gwneud penderfyniadau a phroffilio yn awtomataidd.

8.3 Ceisiadau Gwrthrych am Fynediad at Ddata 

8.3.1 Rhaid i’r Awdurdod sicrhau bod gwrthrych y Data yn gallu arfer ei hawliau i gael mynediad hawdd at y data.

8.3.2 Mae gan yr Awdurdod broses briodol o ymdrin â cheisiadau am fynediad at ddata (ac yn cynnal y broses honno) y dylid cyfeirio ati ar y cyd â’r polisi hwn. Bydd pob cais am fynediad at Ddata a dderbynnir yn cael ei gofnodi at ddibenion monitro ac adrodd ar y log priodol.

8.3.3 Os gwneir ceisiadau yn electronig, bydd yr Awdurdod yn darparu’r wybodaeth mewn fformat electronig a ddefnyddir yn gyffredin.

8.3.4 Yn y rhan fwyaf o amgylchiadau, bydd yr Awdurdod yn darparu’r wybodaeth bersonol am wrthrych y Data yn rhad ac am ddim. Fodd bynnag, mewn amgylchiadau cyfyngedig, gall yr Awdurdod godi ffi resymol i dalu ei gostau gweinyddol os yw o’r farn bod y cais yn ‘amlwg yn ddi-sail neu’n ormodol’ neu os yw gwrthrych y Data yn gofyn am gopïau pellach o’i wybodaeth yn dilyn cais. Yn yr amgylchiadau hynny nid yw’r terfyn amser o fis yn cychwyn nes bod yr Awdurdod wedi derbyn y ffi. Dylai unrhyw benderfyniad arfaethedig i godi tâl am gais gael ei adolygu a’i gytuno gyda’r Swyddog Diogelu Data.

8.3.5 Bydd yr Awdurdod yn darparu copi i unigolion o’r wybodaeth a gedwir amdanynt cyn pen mis ar ôl derbyn cais. Gellir ymestyn hyn am ddau fis pellach os yw’r cais yn gymhleth.

8.3.6 Ar dderbyn y cyfryw geisiadau; –

• • Rhaid i’r Awdurdod wirio a mynnu tystiolaeth i bennu hunaniaeth yr unigolyn ac unrhyw wybodaeth bellach sy’n ofynnol i egluro’r manylion penodol am y cais sy’n cael ei wneud.
  • Pan fo cwmpas y cais am fynediad at ddata yn eang, gall yr Awdurdod ofyn am ragor o fanylion gan wrthrych y data i ddod o hyd i’r wybodaeth benodol sydd o ddiddordeb. Pan gedwir llawer iawn o wybodaeth, gall yr Awdurdod geisio sicrhau bod y wybodaeth ar gael mewn ffyrdd heblaw am ddarparu copi.
  • Bydd yr Awdurdod yn ystyried ceisiadau fesul achos gan unigolion i gywiro, newid, rhwystro neu ddileu gwybodaeth y maent yn ei hystyried yn anghywir, neu i roi’r gorau i brosesu gan bod hynny yn achosi niwed neu drallod iddynt. Bydd yr unigolyn dan sylw yn cael gwybodaeth lawn am y penderfyniad a wneir ar y cais a’r rhesymeg y tu ôl i’r penderfyniad.
  • Pan wneir cais am ddata personol gan drydydd parti ac nid ar ran gwrthrych y data, bydd yr Awdurdod yn ystyried y cais o dan y Rheoliadau Rhyddid Gwybodaeth, Gwybodaeth Amgylcheddol yn ogystal â’r deddfau Diogelu Data.
  • Bydd yr Awdurdod yn ystyried a fyddai rhyddhau’r data personol yn torri unrhyw un o’r egwyddorion Diogelu Data ac yn benodol a yw unrhyw eithriadau o dan y ddeddfwriaeth Diogelu Data yn berthnasol, felly rhaid i weithwyr ymgynghori’n gyntaf â Swyddog Diogelu Data a Rheolwr Gwasanaethau Democrataidd yr Awdurdod.
  • Ni fydd gwybodaeth bersonol yn cael ei rhannu â thrydydd partïon oni chaniateir hynny yn benodol yn ôl y gyfraith a’i chyfiawnhau yn y sefyllfa benodol.

8.3.7 Mae’r Cynllun Cyhoeddi Rhyddid Gwybodaeth yn delio â cheisiadau am wybodaeth am drydydd partïon, a bydd gwybodaeth yn cael ei dal yn ôl lle byddai ei datgelu yn torri unrhyw un o’r egwyddorion Diogelu Data.

---

9. Rhannu Data / Prosesu gan Drydydd Parti 

9.1 Cyd-reolwyr

9.1.1 Pan fydd dau neu fwy o reolwyr yn penderfynu ar y cyd ar ddiben a dull prosesu data, cyfeirir at hyn fel ‘Cyd-reolwyr’. Mewn achos o’r fath, bydd yr Awdurdod a’r Cyd-Reolwr arall (mewn modd tryloyw) yn penderfynu ar eu priod gyfrifoldebau am gydymffurfio â’r Rheoliadau Diogelu Data, o ran arfer hawliau gwrthrych y data, a’u priod ddyletswyddau i ddarparu’r wybodaeth a chael cydsyniad.

9.1.2 Rhaid i unrhyw rannu data rhwng dau Reolwr gael ei wneud dim ond gyda chymeradwyaeth ymlaen llaw gan uwch arweinwyr yr Awdurdod a’r Rheolwyr ac ar y cyd â’r Swyddog Diogelu Data. Rhaid bod Cytundeb Rhannu Data addas ar waith rhwng y ddau barti. Bydd yr Awdurdod yn dilyn arfer gorau a nodir gan Gytundeb Cymru ar Rannu Gwybodaeth Bersonol.

9.2. Defnyddio Proseswyr Data

9.2.1 Pan fydd prosesu yn cael ei wneud ar ran yr Awdurdod gan drydydd parti penodedig, dim ond proseswyr a ddefnyddir sy’n gallu rhoi gwarantau digonol i weithredu (neu sydd â) mesurau technegol a sefydliadol priodol lle mae’r prosesu yn cwrdd â gofynion yr holl Reoliadau Diogelu Data.

9.2.2 Rhaid bod Cytundeb Prosesu Data yn ei le rhwng y Rheolwr a’r Prosesydd sy’n nodi’r manylion ynghylch y gweithgareddau prosesu a’r mesurau diogelwch sy’n ofynnol.

9.2.3 Cyn cynnwys trydydd parti yn y gweithgaredd prosesu, mae angen diwydrwydd dyladwy trylwyr i sicrhau bod gan drydydd partïon y mesurau sefydliadol a thechnegol angenrheidiol yn eu lle i brosesu data yn ddiogel.

9.2.4 Yn y rhan fwyaf o achosion, bydd gofyn i swyddogion gwblhau Asesiad Effaith Diogelu Data i ddangos tystiolaeth o ddiwydrwydd dyladwy a sicrhau bod unrhyw risgiau a lliniariadau wedi’u nodi. Fel rhan o’r broses hon, bydd y Swyddog Diogelu Data yn adolygu cytundebau perthnasol i sicrhau bod y cymalau angenrheidiol ar waith sy’n ymwneud â Diogelu Data a bod sicrwydd diogelwch a diogelu data digonol ar waith.

---

10. Torri Diogelwch Data

10.1 Mae’r diffiniad o dorri diogelwch data personol yn golygu ‘torri mesurau diogelwch sy’n arwain at ddinistrio, colli, newid, datgelu data personol neu fynediad at y data personol heb awdurdod oedd wedi’i drosglwyddo, ei storio neu ei brosesu fel arall’.

10.2 Gall torri diogelwch data personol arwain (os na thelir sylw i hynny mewn modd priodol ac amserol) at y canlynol; –

• • Niwed corfforol, sylweddol neu ansylweddol, i fodau dynol
  • Colli rheolaeth dros eu data personol neu gyfyngu ar eu hawliau
  • Gwahaniaethu
  • Lladrad hunaniaeth a/neu dwyll
  • Colled ariannol
  • Gwrthdroi ffugenw heb awdurdod
  • Niwed i enw da
  • Colli cyfrinachedd data personol a ddiogelir gan gyfrinachedd proffesiynol
  • Anfanteision economaidd neu gymdeithasol sylweddol eraill i’r bod dynol dan sylw

10.3 Dylid darllen Proses yr Awdurdod ar Dorri Diogelwch Data ar y cyd â’r polisi hwn.

10.4 Cyn gynted ag y daw’r Awdurdod yn ymwybodol o achos o dorri diogelwch data personol, dylid rhoi ystyriaeth gwbl o ddifrif ac yn brydlon i hynny.

10.5 Dylid rhoi gwybod am bob achos o dorri diogelwch data (waeth pa mor fach) drwy’r broses y manylir arni yn y ddogfen Gweithdrefn Torri Diogelwch Data, a rhaid rhoi gwybod am yr achos heb oedi gormodol. Lle bo hynny’n ymarferol ac yn briodol (heb fod yn hwyrach na 72 awr ar ôl dod yn ymwybodol o’r torri diogelwch), dylid uwch-gyfeirio’r achos i Swyddfa’r Comisiynydd Gwybodaeth.

• • Bydd yr Awdurdod yn cofnodi pob achos o dorri diogelwch data, waeth a oes angen ei gyfeirio i Swyddfa’r Comisiynydd Gwybodaeth neu beidio
  • Bydd dolenni cyswllt i gofnodion o’r achosion hyn o dorri diogelwch data yn cael eu hychwanegu at y Cofnod Diogelu Data o Weithgareddau Prosesu wrth iddynt ddigwydd
  • Bydd yr Awdurdod yn cofnodi’r ffeithiau sy’n ymwneud â’r torri diogelwch data, ei effeithiau, a’r camau adferol a gymerwyd
  • Bydd yr Awdurdod yn ymchwilio i weld a oedd y torri diogelwch data o ganlyniad i wall dynol neu fater sy’n ymwneud â’r systemau, ac yn ystyried sut ellir atal hynny rhag digwydd eto – p’un ai drwy brosesau gwell, hyfforddiant pellach, neu gamau adferol eraill.

---

11. Gofynion Ymdrin â Chwynion

11.1 Mae prosesau a gweithdrefnau yn eu lle ac yn cael eu cynnal ar gyfer ymdrin â chwynion sy’n ymwneud â data. Rhaid hysbysu’r Prif Weithredwr a’r Swyddog Diogelu Data am unrhyw gwynion a gadarnhawyd sy’n ymwneud â diogelu data. Rhaid eu hysbysu am bob gohebiaeth sy’n ymwneud â chwynion. Dylid prosesu pob cwyn am ddata yn unol â Phroses Cwynion Data yr Awdurdod a nodir isod ac yn unol â’n gweithdrefnau Cwynion am Safonau’r Gwasanaeth.

• • Y pwynt cyswllt cyntaf i wrthrych y data yw’r tîm neu’r adran sy’n cadw ei ddata neu sy’n cynnig gwasanaeth iddo.
  • Dylid datrys materion ar lefel leol mor gyflym ac effeithiol â phosibl gyda’r Swyddogion a’r Rheolwyr i ddatrys cwynion a cheisiadau pellach ynglŷn â’r data.
  • Dylid cyfeirio cwynion am Ddiogelu Data at Swyddog Diogelu Data yr Awdurdod: SSD@arfordirpenfro.org.uk
  • Os yw unigolion yn anhapus â’r modd y mae’r Awdurdod yn ymdrin â’u gwybodaeth, gallant hefyd gysylltu â Swyddfa’r Comisiynydd Gwybodaeth i godi pryder drwy’r dulliau canlynol:

E-bost: casework@ico.org.uk
Swyddogaeth sgwrsio byw ar wefan Swyddfa’r Comisiynydd Gwybodaeth: https://ico.org.uk/global/contact-us/live-chat/
Ffôn: 0303 123 1113. I’w ffonio yn Gymraeg ffoniwch: 029 2067 8400.
Gwasanaeth Ffôn Testun: 01625 545860
Cyfeiriad Cyswllt: Customer Contact Information Commissioner’s Office, Wycliffe House, Water Lane, Wilmslow, Sir Gaer, SK9 5AF

---

12. Deallusrwydd Artiffisial a Diogelu Data

12.1 Rhaid i unrhyw systemau Deallusrwydd Artiffisial AI a ddefnyddir gan yr Awdurdod gydymffurfio â Rheoliad Diogelu Data Cyffredinol y DU a Deddf Diogelu Data 2018, gan gynnwys y pwyntiau sy’n ymwneud â gwneud penderfyniadau awtomataidd.

12.2 Mae penderfyniadau awtomataidd yn y cyd-destun hwn yn benderfyniadau a wneir heb ymyrraeth ddynol, sy’n cael effeithiau cyfreithiol neu effeithiau arwyddocaol tebyg ar ‘wrthrychau data’.

12.3 Er enghraifft, penderfyniad ar-lein i ddyfarnu benthyciad, neu brawf gallu recriwtio sy’n defnyddio algorithmau wedi’u rhaglennu ymlaen llaw.

12.4 Os yw’r Awdurdod eisiau defnyddio prosesau awtomataidd i wneud penderfyniadau gydag effeithiau cyfreithiol neu effeithiau sylweddol tebyg ar unigolion, rhaid i swyddogion ddilyn y mesurau diogelu a ddiffinnir yn y Rheoliad Diogelu Data Cyffredinol a Deddf Diogelu Data 2018. Mae hyn yn cynnwys sicrhau ein bod yn darparu’r canlynol i ddefnyddwyr:

• • gwybodaeth benodol a hygyrch am y broses gwneud penderfyniadau awtomataidd
  • ffordd syml o gael ymyrraeth ddynol i adolygu, ac o bosibl newid y penderfyniad

12.5 Byddwn yn sicrhau nad yw unrhyw defnydd o wneud penderfyniadau awtomataidd yn gwrthdaro ag unrhyw gyfreithiau neu reoliadau eraill. Byddwn yn ystyriedy penderfyniad terfynol ac unrhyw benderfyniadau awtomataidd a effeithiodd yn sylweddol ar y broses o wneud penderfyniadau.

12.6 Rhaid defnyddio Asesiad Effaith Diogelu Data ar gyfer unrhyw ddefnydd o Deallusrwydd Artiffisial AI sy’n defnyddio data personol er mwyn asesu risgiau a lliniaru.

---

13. Rolau a Chyfrifoldebau

13.1 Y Llinell Amddiffyn Gyntaf

13.1.1 Mae pob Gweithiwr, Aelod a Gwirfoddolwr

• • Yn gyfrifol am gydymffurfio â’r Polisi Diogelu Data a’r prosesau / gweithdrefnau cysylltiedig bob amser
  • Yn gorfod rhoi gwybod i’w reolwr llinell am unrhyw achos posibl, gwirioneddol neu ymddangosiadol o dorri diogelwch data, fydd yn adolygu ac yn uwch-gyfeirio’r achos i’r Swyddog Diogelu Data pan a lle bo angen i ddilyn y broses torri diogelwch data (hysbysu am doriadau posibl / gwirioneddol)
  • I gydnabod eu bod wedi darllen a deall polisïau’r Awdurdod ar breifatrwydd data cyn cael mynediad at ddata cyfrinachol neu bersonol sy’n berthnasol i’w rolau
  • I sicrhau bod unrhyw gamau adfer sy’n ofynnol i unioni achos a amheuir neu achos gwirioneddol o dorri diogelwch data yn cael eu cymryd mewn modd amserol i ddatrys y sefyllfa
  • I gwblhau pob hyfforddiant ac ymwybyddiaeth perthnasol ar Ddiogelu Data, gan gynnwys gorfod darllen pob polisi cysylltiedig

13.1.2 Pob Pennaeth Gwasanaeth, Arweinydd Tîm a Rheolwyr

• • Yn gyfrifol am sicrhau y cydymffurfir â’r polisi hwn a gweithdrefnau a phrosesau cysylltiedig yn eu meysydd o’r busnes
  • I sicrhau a monitro bod arferion gwaith yn eu meysydd o’r busnes yn cydymffurfio â’r holl reoliadau diogelu data
  • I sefydlu a chynnal gweithdrefnau wedi’u dogfennu i sicrhau bod unrhyw un sy’n gofyn am ddata cyfrinachol neu bersonol naill ai yn bersonol, yn electronig neu dros y ffôn yn cael ei ddilysu’n briodol cyn datgelu gwybodaeth
  • I sefydlu a chynnal gweithdrefnau wedi’u dogfennu i sicrhau bod data personol sy’n ymwneud â chwsmeriaid yn cael ei gadw’n gywir ac yn gyfredol

13.2 Yr Ail Linell Amddiffyn

13.2.1 Mae’r Prif Weithredwr a’r Swyddog Diogelu Data yn gyfrifol am sicrhau; –

• • Bod cofrestriadau’r Awdurdod gyda Swyddfa’r Comisiynydd Gwybodaeth yn cael eu cynnal
  • Bod polisïau a gweithdrefnau’r Awdurdod yn cael eu diffinio a’u gweithredu’n ddigonol i sicrhau y cydymffurfir â’r holl Reoliadau Diogelu Data
  • Bod ganddynt oruchwyliaeth, a hyder yn y gweithgareddau a’r gweithdrefnau llinell gyntaf i sicrhau y cydymffurfir â holl ofynion y polisi hwn a’r prosesau / gweithdrefnau cysylltiedig
  • Eu bod yn rhoi eglurhad ac arweiniad am unrhyw agwedd ar gydymffurfio â’r holl reoliadau diogelu data

13.2.2 Mae’r Aelodau yn gyfrifol am; –

• • Fonitro perfformiad yr Awdurdod o ran cydymffurfio â’r rheoliadau Diogelu Data, gan gynnwys monitro’r risgiau yn barhaus a glustnodir ar y gofrestr risg, ac ymateb i unrhyw bryderon a godir gan y Swyddog Diogelu Data neu Swyddfa’r Comisiynydd Gwybodaeth;
  • Sicrhau bod adnoddau digonol yn eu lle i gyflawni’r hyn sy’n ofynnol gan y polisi hwn a’r gyfraith ar ddiogelu data;
  • Cymeradwyo penodi Swyddog Diogelu Data sydd â chymwysterau addas a chymwys ar gyfer yr Awdurdod.

---

14. Monitro a Sicrwydd

14.1 Bydd monitro parhaus i asesu’r graddau y cedwir at y polisi ac effeithiolrwydd y polisi hwn a phrosesau cysylltiedig yn cael ei gwblhau gan Swyddog Diogelu Data yr Awdurdod, y Tîm Rheoli ac Aelodau’r Awdurdod.

• • Bydd y Swyddog Diogelu Data yn adolygu ac yn monitro’r Preifatrwydd Data o bryd i’w gilydd drwy adolygiadau addas
  • Dylid monitro’n rheolaidd a dim llai nag unwaith y flwyddyn
  • Bydd allbwn pob gweithgaredd monitro yn cael ei adrodd i Brif Weithredwr a Thîm Rheoli yr Awdurdod
  • O bryd i’w gilydd bydd Archwilwyr Mewnol o bosibl yn cynnal archwiliadau diogelu data er mwyn monitro y cydymffurfir â’r gyfraith ar ddiogelu data a’r polisi hwn
  • Cyflwynir adroddiadau ar ddiogelu data a’r modd y gweithredir y polisi hwn i’r Tîm Rheoli ac i’r Pwyllgor Archwilio ac Adolygu Gwasanaethau Corfforaethol yr Awdurdod

---

15. Polisïau a Gweithdrefnau Gweithredol Cysylltiedig

15.1   Polisi Rheoli a Chadw Cofnodion

15.2   Amserlen Cadw

15.2   Cynllun Cyhoeddi Rhyddid Gwybodaeth

15.3   Polisi Defnyddwyr TGCh

15.4   Polisi Diogelwch Gwybodaeth a Data

15.5   Polisi Diogelu

15.6   Polisi Cyfryngau Cymdeithasol

15.7   Gweithdrefn a Ffurflen Toriad Diogelu Data

15.8    Templedi ar gyfer Asesiadau Effaith Diogelu Data, Cytundebau Diogelu Data a chaniatâd Llun/Delwedd

15.9   Hysbysiadau Preifatrwydd, gan gynnwys hysbysiad preifatrwydd cyffredinol, hysbysiad preifatrwydd gweithwyr ac AD a hysbysiad preifatrwydd cynllunio

15.10 Safonau Gwasanaeth a Chwynion

15.11 Polisi a Chofrestr Teledu Cylch Cyfyng

---

Rheoli Polisi

Lefel y Newid: O dan y Cynllun Dirprwyo dim ond cymeradwyaeth y Tîm Rheoli sydd ei hangen ar gyfer newid.

Ymgynghoriad: Rheolwr Gwasanaethau Democrataidd 28/02/2025. Swyddog Diogelu Data: 03/03/2025. Tîm Rheoli: 01/04/2025.

Asesiadau: Amherthnasol

Cymeradwyaeth: Tîm Rheoli, 01/04/2025

Hanes y Fersiwn:

Fersiwn – 2
Dyddiad Gweithredol – 04/09/2019
Crynodeb o’r Newidiadau – Cymeradwywyd y Polisi.

Fersiwn – 2
Dyddiad Gweithredol – 12/4/2021
Crynodeb o’r Newidiadau – Enw’r Swyddog Diogelu Data wedi’i Ddiwygio.

Fersiwn – 3
Dyddiad Gweithredol – 15/9/2021
Crynodeb o’r Newidiadau – Polisi diwygiedig a gwell yn dilyn adolygiad gan Bolisi Diogelu Data’r Awdurdod. Cymeradwywyd y polisi.

Fersiwn – 3
Dyddiad Gweithredol – 22/7/2021
Crynodeb o’r Newidiadau – Cywiriad i gamgymeriad yn y diffiniad o Egwyddorion o wyth i saith.

Fersiwn – 4
Dyddiad Gweithredol – 01/04/2025
Crynodeb o’r Newidiadau – Gwnaed gwelliannau i gryfhau adrannau sy’n ymwneud â monitro defnydd TG. Dim newid sylfaenol gan ei fod eisoes wedi’i gyfeirio ato yn adran 16. Newidiadau a wnaed i adlewyrchu newidiadau a diweddariadau gweithredol gan gynnwys cyfeiriadau at yr amserlen gadw a chreu Polisi Rheoli a Chadw Cofnodion. Ychwanegwyd adran ar Ddeallusrwydd Artiffisial i adlewyrchu arfer gorau ar ddiogelu data a nodir yn Llawlyfr Canolfan Gwasanaethau Cyhoeddus Digidol ar Ddeallusrwydd Artiffisial.

Adolygu:
Fersiwn – 4
Dyddiad Gweithredol – 01/04/2025
Perchennog y ddogfen – Prif Swyddog Gweithredol/Swyddog Diogelu Data
Review Date Trigger – Cylch adolygu 3 blynedd – Adolygiad nesaf 2028/29. Os oes newidiadau gweithredol neu ddeddfwriaethol, yna bydd y polisi’n cael ei adolygu’n gynharach.