English
Neges gan Gadeiryd
Aelodau'r Bwrdd
Cofnodion y Bwrdd
Cyhoeddiadau
Perfformiad
Ad-dalu'r Gymuned
Asesiad OASys
Rheoli Troseddwyr
Ymyriadau
Partneriaeth
Gweithred C.T 2003
Cyllid
Recriwtiad
Rhyddid Gwybodaeth
Diogelu Data
Cynllun laith Gymraeg

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

 


 

DIOGELU DATA

Cyflwyniad

Daeth Deddf Diogelu Data 1998 i rym ar 1af Mawrth 2000 gan ddiddymu hen Ddeddf Diogelu Data 1984. Fodd bynnag, ceisia gadw at gysyniadau cyfarwydd ac adeiladu ar y drefn a sefydlwyd yn sgîl yr hen Ddeddf. Mae'n atgyfnerthu hawliau unigolion ac yn pennu rheolau ar sut y prosesir y wybodaeth bersonol amdanynt. Mae'r ddeddf hefyd yn gosod mwy o rwymedigaethau ar bawb sy'n cofnodi ac yn defnyddio gwybodaeth sy'n ymwneud ag unigolion, ac mae hyn yn berthnasol i gofnodion papur yn ogystal â'r cofnodion ar gyfrifiadur. Mae'r Ddeddf yn pennu cosbau dirfawr os torrir y rhwymedigaethau hynny.

Mae Ymddiriedolaeth Prawf Dyfed Powys yn ymrwymedig i drin gwybodaeth bersonol yn gyfreithlon ac yn briodol fel y nodir yn Neddf Diogelu Data 1998, a'r pwerau i ddatgelu gwybodaeth yn unol ag Adran 115 Deddf Trosedd ac Anrhefn 1998.

Y rheol gyffredinol yw bod rhaid i unrhyw fudiad neu unigolyn sy'n prosesu data personol gydymffurfio â Deddf 1998 ac, felly, mae pob aelod o staff sy'n gweithio ar ran Ymddiriedolaeth Prawf Dyfed Powys yn dod o dan rychwant y polisi hwn ac yn gorfod cydymffurfio â hyn. Mae hyn yn cynnwys aelodau'r Bwrdd, gweithwyr parhaol ac ar gontract sefydlog, staff asiantaeth, contractwyr, ymgynghorwyr a staff o fudiadau partner.
I gael manylion llawn y Ddeddf, mae'r wybodaeth ar gael o swyddfa'r Swyddog Diogelu Data, Bwrdd Prawf Dyfed Powys, Pencadlys, Heol Llangynnwr, Caerfyrddin, SA31 2PD.

Terminoleg

Rheolydd Data Unrhyw fudiad neu unigolyn, megis Bwrdd Prawf Dyfed Powys, sy'n rheoli data personol.

Data Personol. Gwybodaeth sydd ar system ffeilio berthnasol, cofnodion hwylus neu gofnodion ar gyfrifiadur (yn ogystal ag offer clywedol neu fideo digidol), sy'n nodi pwy yw unigolion byw.

Data Personol Sensitif. Data personol sy'n berthnasol i hil neu darddiad ethnig, safbwyntiau gwleidyddol, credoau crefyddol, iechyd corfforol/meddyliol, aelodaeth undeb llafur, bywyd rhywiol a gweithgareddau troseddol unigolion.

System Ffeilio Berthnasol. Fe'i hadwaenir hefyd fel cofnodion papur h.y. set o gofnodion sy'n cael eu trefnu trwy gyfeirio at yr unigolyn/eu meini prawf ac sydd wedi'u strwythuro mewn modd sy'n sicrhau bod gwybodaeth benodol ar gael yn hwylus e.e. cofnodion personél, microfiche.

Gwrthrych y Data. Unigolyn, megis gweithiwr/wraig neu droseddwr/wraig sy'n destun data personol.

Prosesu. Derbyn, cofnodi neu gadw data neu gyflawni unrhyw weithred ar y data gan gynnwys trefnu, addasu, newid, adfer, ymgynghori, defnyddio, datgelu, dosbarthu, cysoni, atal, dileu neu ddinistrio'r data.

Cofnodion Hwylus. Unrhyw gofnodion a gedwir gan y Gwasanaeth Prawf fel rhan o ddyletswydd statudol e.e. cofnodion SCRhT, adroddiadau ACD, gwybodaeth trydydd parti, gan gynnwys cofnodion ym meysydd iechyd, gwasanaethau cymdeithasol ac addysg.

Prosesydd Data. Mae prosesydd data, mewn perthynas â data personol, yn golygu unrhyw berson (heblaw cyflogai'r rheolydd data) sy'n prosesu'r data ar ran y rheolydd data.

Derbynnydd. Mae derbynnydd, mewn perthynas â data personol, yn golygu unrhyw berson y datgelir y data iddynt, gan gynnwys unrhyw berson (megis cyflogai neu asiant y rheolydd data, prosesydd data neu gyflogai neu asiant y prosesydd data) y datgelir y data iddynt yn ystod prosesu'r data ar gyfer y rheolydd data. Ond nid yw'n cynnwys unrhyw berson y datgelir iddynt neu y gellir datgelu'r data iddynt o ganlyniad i, neu gyda golwg ar, ymholiad arbennig gan neu ar ran y person hwnnw wrth iddynt ymarfer unrhyw rym a roddir trwy gyfraith.

Trydydd Parti. Mae trydydd parti, mewn perthynas â data personol, yn golygu unrhyw berson heblaw: -
¥ gwrthrych y data,
¥ y rheolydd data, neu
¥ unrhyw brosesydd data neu berson arall sydd â'r hawl i brosesu data ar ran y rheolydd neu'r prosesydd data

Hysbysiad

Bwrdd Prawf Dyfed Powys sy'n bennaf gyfrifol am sicrhau cydymffurfiad â'r Ddeddf, ond os oes cofrestru wedi digwydd a bod aelodau staff wedi cael gwybod am bolisïau diogelu data, gallai torri amodau'r Ddeddf mewn unrhyw fodd (e.e. cyhoeddi data heb awdurdod) arwain at yr unigolyn yn bod yn bersonol atebol.
Mae'n ofynnol i Fwrdd Ymddiriedolaeth Prawf Dyfed Powys hysbysu'r Comisiynydd bob blwyddyn, yn gyffredinol, ynghylch dibenion eu prosesu, y data personol a brosesir, derbynwyr y data personol a brosesir ac unrhyw le tramor y trosglwyddir y data iddo, o bosib.
Bydd y Comisiynydd wedyn yn sicrhau bod y wybodaeth hon ar gael i'r cyhoedd ar gofrestr. Ni chysylltir hysbysiad â gorfodi. Yn unol â Deddf 1998, rhaid i bob rheolydd gydymffurfio â'r egwyddorion diogelu data, hyd yn oed os nad ydynt yn gorfod hysbysu. Mae gan reolwyr data un cofnod ar y gofrestr. Mae modd adnewyddu hysbysiadau bob blwyddyn, Prif Swyddog Cynorthwyol yn y Pencadlys yw Swyddog Diogelu Data Bwrdd Prawf Dyfed Powys.

EGWYDDORION DIOGELU DATA

Mae'r Ddeddf yn annog arferion da ymysg rheolwyr data trwy sefydlu cyfres o wyth Egwyddor Diogelu Data sy'n pennu rheolau ar gyfer trin data personol yn deg ac yn ddiogel. Anufuddhau i'r egwyddorion yn hytrach na'r Ddeddf ei hun sydd fel arfer yn sbarduno cwynion i'r Comisiynydd.

Caiff yr wyth egwyddor eu trafod yn fanwl yn awr:
1 Caiff data personol ei brosesu'n deg ac yn gyfreithlon ac ni chaiff, yn arbennig, ei brosesu oni bai -
(a) fod o leiaf un o'r amodau yn atodlen 2 (i) yn cael ei ddiwallu, ac
(b) yn achos data personol sensitif, bod o leiaf un o'r amodau yn atodlen 3 yn cael ei ddiwallu hefyd.
Mae'r egwyddor hon yn gosod rhwymedigaeth ar y rheolwyr data i sicrhau bod y data yn cael ei brosesu'n deg ac yn gyfreithlon. Mae'n gofyn iddynt archwilio'r sail gyfreithiol i'w prosesu, pa wybodaeth a roddant i wrthrychau'r data wrth iddynt gasglu'r data, a ydynt yn eu camarwain o ran sut y byddant yn defnyddio'r data ayb.
Mae paragraff (a) yn gofyn bod pob gweithgaredd sy'n ymwneud â phrosesu data yn cael ei gyfiawnhau trwy gyfeirio at y meini prawf yn atodlen 2. Mae'r rhain yn cynnwys cael caniatâd ysgrifenedig y gwrthrych, i gydymffurfio â rhwymedigaeth gyfreithiol a chyflawni swyddogaeth gyhoeddus e.e.: rhannu gwybodaeth gyda mudiad Partneriaeth sydd wedi ymuno â'n protocol.
Ystyr paragraff (b) yw y bydd rhaid i ddata personol sensitif, lle bo'n berthnasol, gael ei gyfiawnhau ymhellach gan gyfeirio at un o'r meini prawf yn atodlen 3. Mae'r rhain yn cynnwys caniatâd clir, i gyflawni rhwymedigaethau cyfreithiol fel cyflogwr/wraig a bwrw ati i fonitro cyfle cyfartal.

2. Dim ond at ddiben(ion) penodol a chyfreithiol y dylid cael gafael ar ddata personol ac ni ddylid ei brosesu ymhellach mewn unrhyw ffordd sy'n anghydnaws â'r diben neu'r dibenion hynny.
Mae hyn yn gwahardd defnyddio'r data personol at ddibenion y tu hwnt i'r hyn y cofrestrwyd defnyddiwr y data i'w wneud neu'r hyn a ddywedwyd wrth wrthrych y data adeg casglu'r data. Mae'n bwysig felly fod pob cyflogai sy'n prosesu data personol yn gwybod beth mae proses gofrestru Dyfed Powys yn caniatáu iddynt ei wneud, yn gyffredinol:
¥ darparu gwybodaeth i lysoedd a sefydliadau eraill
¥ goruchwylio troseddwyr yn y gymuned a gwarchod y cyhoedd
¥ monitro perfformiad a gweithrediad y gwasanaeth
¥ rheoli staff y Gwasanaethau.
Fodd bynnag, nid yw'r ffaith ein bod ni wedi'n cofrestru i wneud rhywbeth gyda data personol yn golygu o reidrwydd y gallwn ni ei wneud. Gallai fod yn torri amod egwyddor 1 o hyd.
3. Rhaid i ddata personol fod yn ddigonol ac yn berthnasol heb fod yn ormodol i'r diben neu'r dibenion y cânt eu prosesu.
Mae'r egwyddor hon yn gofyn bod y rheolydd data yn edrych ar bolisïau a gweithdrefnau ar gyfer casglu, storio a chwynnu gwybodaeth. Rhaid i'r Rheolydd Data sicrhau bod cyfnodau adolygu yn rhan o ddogfennau fel na chedwir data personol yn hirach nag y bo'n angenrheidiol. Ar ben hynny, rhaid i'r rheolydd data edrych ar faint o wybodaeth y gofynnir amdani ac ystyried a yw hyn yn angenrheidiol mewn gwirionedd.
Er enghraifft, gallai cadw gwybodaeth am ymgeiswyr swydd aflwyddiannus am gyfnod hirach na'r hyn sy'n rhesymol arwain at dorri amod yr egwyddor hon.
I helpu i gydymffurfio â'r egwyddor hon, rhaid i bob ffeil achos gydymffurfio â fformat SCRhT o ran cynnwys data.
4. Bydd data personol yn gywir a, lle bo hynny'n briodol, yn cael ei ddiweddaru.
Mae gofyn bod y rheolydd data yn adolygu'r wybodaeth a gedwir yn rheolaidd. Digon posib y bydd rhaid mynd yn ôl at yr unigolyn i wneud yn siwr ei bod yn gywir yn enwedig lle gallai gwybodaeth anghywir arwain at golled i'r unigolyn e.e. manylion pensiwn neu gyflog. Bydd rhaid i rywfaint o wybodaeth gael ei hadolygu'n fwy rheolaidd na gwybodaeth arall oherwydd bod canlyniadau prosesu gwybodaeth anghywir yn fwy difrifol. Caiff unrhyw newid dilynol ei fwydo'n syth ac os deuir o hyd i wybodaeth anghywir, caiff ei newid.
Os bydd data yn cael ei rannu, dylid ei gofnodi yn y ffeil achos, ac os caiff data ei gywiro, cyfrifoldeb y swyddog goruchwylio yw sicrhau bod y newidiadau hyn yn cael eu trosglwyddo i'r asiantaethau perthnasol.

5. Ni chedwir data personol a brosesir at unrhyw ddiben neu'r dibenion am gyfnod hirach na'r hyn sy'n angenrheidiol at y diben neu ddibenion hynny.
Mae hyn yn debyg i egwyddor 3. Er mwyn cydymffurfio â'r egwyddor hon, cynghorir y rheolydd data i gadw'r swm lleiaf o wybodaeth am unigolyn i ddiwallu eu diben cofrestredig. Caiff y wybodaeth ei hadolygu'n rheolaidd i weld a oes ei hangen o hyd ac, os nad oes ei hangen, caiff ei dinistrio.

6. Caiff data personol ei brosesu yn unol â hawliau gwrthrych y data yn unol â'r Ddeddf hon.
Yn unol â Deddf 1998, ymestynnwyd hawliau'r unigolion yn sylweddol mewn perthynas â'u data personol. Trafodir y rhain isod.

7. Cymerir camau technegol a threfniadaethol priodol yn erbyn prosesu data personol yn anghyfreithlon neu heb ganiatâd ac yn erbyn colli neu ddinistrio data personol yn ddamweiniol neu ei ddifrodi.
Mae'r egwyddor hon yn gofyn bod y rheolydd data yn sicrhau bod mesurau diogelwch ar waith i osgoi colli, difrodi neu ddinistrio data. Rhaid cynnwys datganiad ar ddiogelwch wrth hysbysu'r Comisiynydd. Hefyd mae'r Ddeddf yn gosod ystyriaethau penodol ar gyfer sicrhau diogelwch. Rhaid i'r rheolydd data gymryd camau rhesymol i sicrhau bod y gweithwyr sydd â mynediad i ddata personol yn ddibynadwy. Golyga hyn y bydd rhaid dweud wrth weithwyr am ddiogelu data a lle bo angen, cynnig hyfforddiant. Ar ben hynny, os yw'r rheolydd data yn defnyddio trydydd parti i brosesu ei ddata, yna rhaid cael contract sy'n sicrhau bod mesurau diogelwch priodol ar waith.

8. Ni chaiff data personol ei drosglwyddo i wlad neu diriogaeth y tu allan i Ardal Economaidd Ewrop oni bai fod y wlad neu'r diriogaeth honno yn sicrhau lefel ddigonol o ddiogelwch ar gyfer hawliau a rhyddid gwrthrychau'r data mewn perthynas â phrosesu data personol.
Nid oes modd trosglwyddo data personol i wlad y tu allan i Ardal Economaidd Ewrop oni bai bod y wlad honno yn sicrhau lefel ddigonol o ddiogelwch ar gyfer hawliau a rhyddid gwrthrychau'r data mewn perthynas â phrosesu data personol.

Yn ôl i frig y dudalen