Contract
POLISI DIOGELU DATA A GWAREDU DATA | ||||
Adran | Cynllunio Strategol | |||
Awdur | Cynghorydd Cyfreithiol | |||
Awdurdodwyd gan: | Cyfarwyddwr Cyswllt Cynllunio Strategol | |||
Gweithredwyd gan: | Swyddog Diogelu Data | |||
Cyfeirnod y Polisi: | POSP1718010 | |||
Polisi a Ddisodlwyd: | POAR1617006 | |||
Rhif y Fersiwn: | 1 | Pwyllgor Cymeradwyo: | Bwrdd yr Is-ganghellor | |
Dyddiad cymeradwyo: | 09.07.18 | Xxxx y cofnod: | 17.139.02 | |
Statws: | Cymeradwywyd | Dyddiad Gweithredu: | Gorffennaf 2018 | |
Cyfnod cymeradwyo: | 3 blynedd | Dyddiad Adolygu: | Gorffennaf 2021 | |
Rwyf wedi mynd ati i sgrinio’r asesiad o effaith ar gydraddoldeb er mwyn ceisio amddiffyn rhag gwahaniaethu a hyrwyddo cydraddoldeb. | ||||
Rwyf wedi ystyried effaith y Polisi/Strategaeth/Gweithdrefn (dileer fel y bo’n briodol) ar yr iaith Gymraeg a’r ddarpariaeth iaith Gymraeg o fewn y Brifysgol. | ||||
1. Cyflwyniad
Mae’r polisi hwn yn rhan o gyfres o bolisïau a gweithdrefnau sy’n ategu fframwaith llywodraethu gwybodaeth y Brifysgol.
Rhaid i’r Brifysgol gadw a phrosesu llawer o ddata personol am ei myfyrwyr, ei gweithwyr, xx xxxx-fyfyrwyr, ei chontractwyr, ei chyflenwyr ac unigolion eraill er mwyn mynd i’r afael â’i swyddogaethau busnes (nid yw’r rhestr hon yn gyflawn).
Mae cyfraith Diogelu Data yn diffinio ‘data personol’ fel unrhyw wybodaeth yn ymwneud â xxxxxxx naturiol adnabyddedig neu adnabyddadwy (‘gwrthrych y data’). Person naturiol adnabyddadwy yw rhywun y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol, yn arbennig trwy gyfeirio at ddynodyddion arbennig fel enw, rhif adnabod, data am leoliad, dynodydd ar-xxxx xxx un xxx fwy o ffactorau sy’n ymwneud yn benodol â hunaniaeth gorfforol, ffisiolegol, genetig, meddyliol, economaidd, diwylliannol neu gymdeithasol y person naturiol hwnnw.
2. Pwrpas
Gellir cydymffurfio â’r ddeddfwriaeth trwy roi mesurau rheoli a chyfrifoldebau ar waith, yn cynnwys mesurau sy’n sicrhau’r canlynol:
2.1 Bod y data personol yn cael ei brosesu mewn modd cyfreithlon, teg a chlir. Mae hyn yn cynnwys darparu gwybodaeth briodol i unigolion wrth i’r Brifysgol gasglu eu data, a hynny ar ffurf hysbysiadau preifatrwydd. Hefyd, rhaid i’r Brifysgol fod â
sail gyfreithiol dros brosesu data personol. Caiff y sail gyfreithiol dros brosesu ei nodi yn Erthygl 6 y Rheoliad Cyffredinol ar Ddiogelu Data.
2.2 Bod y data personol yn cael ei brosesu ar gyfer y dibenion y cafodd ei gasglu’n unig.
2.3 Bod y data personol yn ddigonol, yn berthnasol a heb fod yn anghymesur ar gyfer y dibenion y cafodd ei gasglu.
2.4 Bod y data personol yn fanwl gywir, a’i fod yn cael ei ddiweddaru pan fo angen.
2.5 Nad yw’r data personol yn cael ei gadw’n hwy na’r angen.
2.6 Bod y data personol yn cael ei brosesu’n unol ag egwyddorion uniondeb a chyfrinachedd. Mae hyn yn cynnwys mesurau ffisegol a sefydliadol i sicrhau bod lefel ddiogelwch briodol yn cael ei rhoi ar waith ar gyfer data personol, ar bapur ac yn ddigidol, pan gaiff ei storio, ei ddefnyddio a’i gyfathrebu gan y Brifysgol, a hynny er mwyn gwarchod rhag prosesu anghyfreithlon neu faleisus a cholled ddamweiniol, distryw neu ddifrod. Hefyd, mae hyn yn cynnwys mesurau i sicrhau bod darpariaethau contractiol priodol yn cael eu rhoi ar waith parthed data personol a drosglwyddir neu a rennir fel arall gyda thrydydd partïon.
2.7 Caiff data personol ei brosesu’n unol â hawliau unigolion, pan fo hynny’n berthnasol. Dyma’r wyth hawl:
• Yr hawl i gael eu hysbysu
Rhaid i’r Brifysgol roi gwybodaeth i unigolion am y gweithgareddau prosesu data a roddwn ar waith. Cyflwynir yr wybodaeth hon mewn Hysbysiadau Preifatrwydd ar gyfer Myfyrwyr a Staff, a hefyd mewn Hysbysiadau Preifatrwydd Generig. Rhaid i’r wybodaeth fod yn gryno, yn glir, yn ddealladwy ac yn hawdd cael gafael arni; wedi’i hysgrifennu mewn iaith glir a syml, ac yn rhad ac am ddim.
xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/ xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/
• Yr hawl i gael mynediad at wybodaeth a gedwir amdanynt gan y Brifysgol (trwy gyfrwng cais mynediad at ddata gan y testun)
Rhaid i’r Brifysgol roi cadarnhad i unigolion fod eu data’n cael ei brosesu a sut y xxxxxxx xxxx mynediad at eu data personol. Rhaid i’r Brifysgol gydymffurfio ag unrhyw gais mynediad at ddata gan y testun o fewn mis o’i dderbyn, a hynny’n rhad ac am ddim, oni bai bod y cais yn amlwg yn ddi-sail neu’n anghymesur.
• Yr hawl i gywiro
Xxx xxxx i’r unigolyn gael cywiro’i ddata personol os yw’n anghywir neu’n anghyflawn. Rhaid i’r Brifysgol gydymffurfio ag unrhyw gais i gywiro data o fewn mis. Gellir ymestyn y cyfnod hwn i ddeufis pe bai’r cais yn gymhleth.
• Yr hawl i ddileu
Xxx xxx unigolion yr hawl i gael dileu eu data personol pan na fo’r data personol yn angenrheidiol mwyach at y diben y cafodd ei gasglu neu ei brosesu. Rhaid i’r Brifysgol gydymffurfio pan fo’r unigolyn yn tynnu ei ganiatâd yn xx xxx’n gwrthwynebu’r prosesu a xxxx xx fo xxxx cyfreithlon hollbwysig dros barhau i brosesu neu pan gafodd y data personol ei brosesu’n anghyfreithlon neu pan fo’n rhaid ei ddileu er mwyn cydymffurfio â rhwymedigaeth gyfreithiol. Fodd bynnag, gall y Brifysgol wrthod dileu’r data
pan gaiff ei brosesu oherwydd eithriad, er mwyn arfer hawl rhyddid i lefaru, cydymffurfio â rhwymedigaeth gyfreithiol neu berfformio tasg er lles y cyhoedd neu arfer neu amddiffyn honiadau cyfreithiol ac at ddibenion yn ymwneud ag iechyd y cyhoedd, archifo er lles y cyhoedd, ymchwil wyddonol/hanesyddol neu ystadegau. Mae hyn hefyd yn berthnasol os yw data wedi’i ddatgelu i drydydd parti.
• Yr hawl i gyfyngu ar brosesu
Xxx xxx unigolion yr hawl i gyfyngu ar brosesu data personol pan fyddont wedi herio’i gywirdeb, pan fyddont wedi gwrthwynebu iddo gael ei brosesu a xxxx fo’r Brifysgol yn ystyried a oes gan yr unigolyn sail gyfreithlon sy’n mynd y tu hwnt i hyn, pan fo’r prosesu’n anghyfreithlon a xxxx xx fo’r Brifysgol angen y data mwyach ond pan fo’r unigolyn xx xxxxx i sefydlu, arfer neu amddiffyn honiad cyfreithiol. Mae hyn hefyd yn cynnwys hysbysu trydydd partïon i ddileu’r data personol.
• Yr hawl i gluadadwyedd data
Xxx xxx unigolion yr hawl i symud, copïo neu drosglwyddo data personol yn rhwydd o un amgylchedd TG i’r llall mewn modd saff a diogel, heb rwystro’i ddefnyddioldeb. Mae’n galluogi defnyddwyr i wneud yn fawr o raglenni a gwasanaethau a all ddefnyddio’r data i chwilio am fargen well iddynt, neu eu helpu i ddeall eu harferion gwario. Dim ond i ddata personol y mae’r unigolyn wedi’i roi i’r Brifysgol y mae hyn yn berthnasol; pan fo’r prosesu’n seiliedig ar ganiatâd neu ar berfformiad contract a xxxx fo’r prosesu’n cael ei wneud trwy ddulliau awtomataidd. Rhaid i’r data personol fod ar ffurf strwythuredig, y’i defnyddir yn gyffredin, y gall peiriant ei darllen (e.e. ffeiliau CSV) a phe bai’r unigolyn yn gofyn amdano, efallai y bydd yn rhaid ichi drosglwyddo’r data’n uniongyrchol i sefydliad arall os yw hyn yn dechnegol ymarferol. Rhaid i’r Brifysgol gydymffurfio â chais yr unigolyn yn rhad ac am ddim, ac o fewn mis. Gellir ymestyn y cyfnod hwn i ddeufis pan fo’r cais yn gymhleth xxx xx bai yna nifer o geisiadau.
• Yr hawl i wrthwynebu
Xxx xxx unigolion yr hawl i wrthwynebu’r prosesu yn seiliedig ar fudd cyfreithlon, perfformio tasg er lles y cyhoedd neu arfer awdurdod swyddogol (yn cynnwys proffilio). Hefyd, marchnata uniongyrchol (yn cynnwys proffilio) a phrosesu’n ymwneud ag ymchwil wyddonol/hanesyddol neu ystadegau. Rhaid i’r Brifysgol hysbysu’r unigolyn ynghylch ei hawl i wrthwynebu cyn gynted ag y xx xxxx, a xxxx fo’r unigolyn yn gwrthwynebu marchnata uniongyrchol rhaid gwneud hynny’n xxxx gan nad oes eithriadau i’w cael nac unrhyw sail dros wrthod. Pan fo’r unigolyn yn gwrthwynebu i’w ddata gael ei brosesu, rhaid i’r Brifysgol gydymffurfio â’r cais hwn oni bai bod modd i’r Brifysgol ddangos bod yna sail gyfreithlon rymus dros barhau i brosesu neu fod y prosesu ar gyfer sefydlu, arfer neu amddiffyn honiadau cyfreithiol.
• Hawliau’n ymwneud â phenderfyniadau a phroffilio awtomataidd
Xxx xxx unigolion yr hawl i beidio â bod yn ddarostyngedig i benderfyniad pan fo hwnnw’n seiliedig ar brosesu awtomataidd; a xxxx fo’n arwain at effaith gyfreithiol neu effaith sylweddol debyg ar yr unigolyn. Rhaid i’r Brifysgol sicrhau bod modd i wrthrychau’r data gael ymyrraeth ddynol, mynegi eu safbwynt a chael esboniad o’r penderfyniad a’i herio. Mae proffilio yn cynnwys unrhyw fath o brosesu awtomataidd sydd â’r bwriad o werthuso agweddau arbennig ar yr unigolyn, yn enwedig o ran dadansoddi neu broffwydo’u perfformiad yn y gwaith, eu sefyllfa economaidd, eu hiechyd, eu dewisiadau personol, eu dibynadwyedd, eu hymddygiad a’u lleoliad. Ni fydd hyn yn
berthnasol pe bai’r penderfyniad awtomataidd yn angenrheidiol ar gyfer llunio contract neu berfformiad contract, pe bai’n cael ei awdurdodi gan y gyfraith (at ddibenion twyll neu efadu trethi), pe bai’n seiliedig ar ganiatâd penodol xxx xx na bai’n cael effaith gyfreithiol neu effaith sylweddol debyg ar yr unigolyn. Os yw’r Brifysgol yn prosesu data personol ar gyfer dibenion proffilio, rhaid iddi sicrhau bod mesurau diogelu priodol yn cael eu rhoi ar waith a’i bod yn deg ac yn glir ynghylch rhesymeg hyn, yn defnyddio gweithdrefnau mathemategol/ystadegol priodol, ac yn rhoi mesurau technegol a sefydliadol priodol ar xxxxx xx mwyn cywiro gwallau a lleihau camgymeriadau.
2.8 Rhaid i ddull y Brifysgol o gynllunio a gweithredu systemau a phrosesau ddarparu ar gyfer diogelwch a phreifatrwydd data personol.
2.9 Ni throsglwyddir data personol y tu hwnt i’r Ardal Economaidd Ewropeaidd heb roi mesurau diogelu priodol ar waith.
2.10 Rhaid rhoi amodau a mesurau diogelu ychwanegol ar xxxxx xx mwyn sicrhau y bydd y Brifysgol yn ymdrin yn briodol â data mwy sensitif (a ddiffinnir fel data categori arbennig yn y ddeddfwriaeth). Data Categori Arbennig yw data personol yn ymwneud â’r elfennau canlynol sy’n perthyn i’r unigolyn:
• Hil neu darddiad ethnig
• Barn wleidyddol
• Credoau crefyddol neu athronyddol
• Aelodaeth o undebau llafur
• Data genetig
• Data biometrig (a ddefnyddir at ddibenion adnabod)
• Iechyd
• Bywyd rhywiol neu gyfeiriadedd rhywiol
Ymhellach, mae amodau a mesurau diogelu ychwanegol tebyg yn berthnasol wrth brosesu data personol yn ymwneud ag euogfarnau troseddol a throseddau. Gellir gweld graddfa ddosbarthu’r Brifysgol ar:
xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/ xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/
3. Cwmpas
Mae’r Polisi hwn yn berthnasol i’r canlynol:
• Yr xxxx ddata personol a gedwir ac a brosesir gan y Brifysgol. Mae hyn yn cynnwys barn a fynegir ynghylch yr unigolyn a bwriad y Brifysgol mewn perthynas â’r unigolyn. Mae’n cynnwys data a gedwir mewn unrhyw system neu unrhyw fformat, pa un a yw’n electronig neu ar bapur.
• Pob aelod o staff, yn ogystal ag unigolion sy’n gwneud gwaith yn neu ar ran y Brifysgol a/neu ei his-gyrff, sydd â mynediad at wybodaeth y Brifysgol (“staff”). Mae hyn yn cynnwys gweithwyr dros dro, anrhydeddol, gwadd, ysbeidiol a gwirfoddol, cymrodyr, aelodau’r Bwrdd, gweithwyr asiantaeth, myfyrwyr a gyflogir gan y Brifysgol a chyflenwyr ac isgontractwyr (ni fwriedir i’r rhestr hon fod yn gyflawn).
• Pob lleoliad a ddefnyddir ar gyfer cael gafael ar ddata personol, yn cynnwys mannau oddi ar y campws.
4. Fframwaith cyfrifoldebau a chydymffurfio
Rhaid i’r xxxx staff a phawb arall a gymeradwyir i ddefnyddio systemau’r Brifysgol wneud y canlynol:
• Cwblhau hyfforddiant diogelu data xxx xxx flynedd, a cheisio cyngor ac arweiniad
gan y Swyddog Diogelu Data pe xxx xxxxx eglurhad.
• Rhoi gwybod yn xxxx i’ch Rheolwr, y Cyfarwyddwr Cyswllt, y Cyfarwyddwr, Xxxx y Gyfadran, yr Uwch-berchennog Risg Gwybodaeth (SIRO) sy’n gyfrifol am sicrhau diogelwch gwybodaeth yn y Brifysgol (XXXX@xxxxxxx.xx.xx), a’r Swyddog Diogelu Data xxx@xxxxxxx.xx.xx am unrhyw achosion gwirioneddol neu amheus o gamddefnyddio, datgelu neu ddatguddio data personol mewn modd anawdurdodedig, ynghyd ag achosion y bu ond y dim iddynt â digwydd neu arferion gweithio sy’n peryglu diogelwch data personol a gedwir gan y Brifysgol.
Xxx xxx y Brifysgol Weithdrefn Digwyddiadau Llywodraethu Gwybodaeth Difrifol sy’n nodi’r broses y bydd y Brifysgol yn ei rhoi ar xxxxx xx bai’n cael ei hysbysu ynghylch tor diogelwch data. Gellir dod o hyd i’r weithdrefn hon ar xxxxx://xxx.xxxxxxx.xx.xx/xx/XxxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/
Deoniaid Cyfadrannau, Cyfarwyddwyr Cyswllt a Chyfarwyddwyr (a elwir yn Berchnogion Asedau Gwybodaeth) sy’n gyfrifol am sicrhau bod data personol yn eu meysydd yn cael ei brosesu’n unol â’r Polisi hwn a’r gweithdrefnau sefydledig. Er mwyn cynorthwyo gyda hyn, mae’r Brifysgol wedi pennu Gweinyddwyr Asedau Gwybodaeth ar draws Cyfadrannau a swyddogaethau proffesiynol. Bydd y Rheolwyr Busnes Cyfadran yn cynnig cymorth pellach i’w Cyfadran ynghylch llywodraethu gwybodaeth.
Bydd y Gweinyddwyr Asedau Gwybodaeth yn gyfrifol am oruchwylio cydymffurfiaeth â rheolau diogelu data yn eu meysydd, pan fo hynny’n berthnasol. Bydd y Gweinyddwyr Asedau Gwybodaeth yn pennu’r angen am hyfforddiant ac yn trefnu i ddiwallu’r anghenion hyn trwy gysylltu â’r Swyddog Diogelu Data. Hefyd, mae’r Gweinyddwyr Asedau Gwybodaeth yn gyfrifol am helpu i ganfod amgylchiadau pan fo angen cytundebau rhannu neu drosglwyddo data gyda thrydydd partïon a sicrhau bod y rhain yn cael eu rhoi ar waith. Bydd xxxxx xxxxx copïau o’r rhain at y Swyddog Diogelu Data i’w rhoi ar gofrestr.
Mae’r Swyddog Diogelu Data yn gyfrifol am ddarparu gweithdrefnau, canllawiau a chyngor i ategu’r polisi hwn ac ar gyfer hyfforddi staff. Ymhellach, mae’r Swyddog Diogelu Data yn gyfrifol am oruchwylio pa un a yw’r Brifysgol yn cydymffurfio â’r gyfraith diogelu data.
Pe bai unrhyw weithiwr, swyddog neu fyfyriwr ym Mhrifysgol Glyndŵr yn creu eu system neu eu cofnod eu hunain, er enghraifft taenlen neu gronfa ddata/mynegai cardiau, xxxxx xx rhai cyfrifiadurol neu rai papur, a hwythau’n cynnwys data personol, rhaid i hyn gael ei wneud yn unol â’r defnydd a ganiateir uchod a’u rheoli xxxx xxxxx ddiogelwch briodol. Dylid hysbysu’r Swyddog Diogelu Data xxx.xxx@xxxxxxx.xx.xx ynghylch unrhyw amwysedd yn y defnydd arfaethedig o ddata personol, a bydd ef/hi wedyn yn sicrhau y cydymffurfir â’r gofynion uchod a bod lefelau diogelwch priodol yn cael eu rhoi ar waith.
Cyn belled na ellir canfod pwy yw’r unigolion a chyn belled na chaiff eu hunaniaeth ei datgelu, gellir defnyddio gwybodaeth gyfanredol neu ystadegol i ymateb i unrhyw geisiadau cyfreithlon, mewnol neu allanol, am ddata.
Pe bai’r Polisi hwn yn cael xx xxxxx mewn unrhyw ffordd, dylai’r staff sylwi y gellir ymdrin â hynny fel camymddwyn xxx weithdrefnau disgyblu perthnasol y Brifysgol, a phe bai’n cael ei brofi xx xxxxx arwain at gamau disgyblu neu gosbau. Pe bai’r Polisi hwn yn cael xx xxxxx mewn modd difrifol, xx xxxxx hynny fod yn gyfystyr â chamymddwyn difrifol, a phe bai’n cael ei brofi xx xxxxx arwain at ddiswyddo diannod neu derfynu’r contract.
5. Rhaid i Brifysgol Glyndŵr gadw at ei pholisi dargadw data personol
Ni ddylai Prifysgol Glyndŵr gadw gwybodaeth yn hwy na’r angen at y diben y cafodd ei chasglu; mae hyn yn cynnwys cyhyd ag y bo’n angenrheidiol ar gyfer amddiffyn unrhyw achos cyfreithiol a gaiff ei ddwyn yn erbyn y Brifysgol mewn perthynas â’r prosesu, neu fel sy’n ofynnol yn ôl y gyfraith, fel sy’n ofynnol yn ôl unrhyw gorff rheoleiddio neu fel yr
argymhellir gan unrhyw god ymddygiad perthnasol. Gellir cael gwybodaeth xxxxxxx am ddargadw data personol gan y Swyddog Diogelu Data a gellir dod o hyd iddi yn y Polisi Rheoli Cofnodion
xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/ xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/
Xxx hyn a hyn bydd y Swyddog Diogelu Data yn bwrw golwg dros natur yr wybodaeth a gesglir neu a gedwir, er mwyn sicrhau bod yna reswm busnes da dros gadw’r wybodaeth.
6. Monitro Cydymffurfiaeth
Bydd y polisi hwn a’r modd y’i rhoddir ar waith yn cael eu monitro a’u harchwilio trwy’r Brifysgol i gyd, a bydd canlyniadau’r prosesau hyn yn cyfarwyddo ac yn gwella arferion fel rhan o ymrwymiad i welliant parhaus. Bydd y Pwyllgor Llywodraethu Gwybodaeth yn cael adroddiadau chwarterol ac yn goruchwylio polisïau a gweithdrefnau Llywodraethu Gwybodaeth y Brifysgol, gan fynd i’r afael ag unrhyw feincnodi priodol.
7. Adolygu’r Polisi
Bydd y Polisi hwn yn cael ei adolygu gan y Pwyllgor Llywodraethu Gwybodaeth fel bo’r angen, neu pan fydd deddfwriaeth yn gorchymyn hynny.
8. Cysylltiadau
Xxxxxx Xxxxxxxx yw’r Swyddog Diogelu Data a gellir cysylltu â hi trwy e-xxxx ar xxx@xxxxxxx.xx.xx.
9. Cwynion
Os yw unigolyn yn anfodlon gyda’r ffordd y mae’r Brifysgol wedi ymdrin â’i gwybodaeth/wybodaeth bersonol, neu os yw wedi gofyn am wybodaeth bersonol a gedwir amdano/amdani (cais am fynediad at ddata gan y testun), ond heb gael ateb, gellir cyflwyno cwyn.
Dylid cyflwyno’r xxxx hon yn y lle cyntaf i’r Cyfarwyddwr Cyswllt Cynllunio Strategol a dylai gynnwys esboniad byr o’r rhesymau sydd wrth wraidd yr anfodlonrwydd. Bydd y xxxx yn xxxx xx chydnabod yn xxxx a bydd y Cyfarwyddwr Cyswllt Cynllunio Strategol yn cyflwyno ymateb llawn o fewn 15 diwrnod gwaith.
Os bydd yr achwynydd yn dal i fod yn anfodlon yn dilyn yr ymateb hwn, gall hi/ef geisio adolygiad annibynnol gan y Comisiynydd Gwybodaeth.
Rhif hysbysu’r Brifysgol yw Z5199192.
GWAREDU DATA
1. CWMPAS Y POLISI
Polisi Prifysgol Glyndŵr yw:
• gwaredu data trwy ddefnyddio dulliau sy’n bodloni’n llwyr ofynion y Ddeddf Diogelu Data.
• arddangos dyletswydd gofal gyffredinol parthed gwaredu data fel na fydd unrhyw unigolyn neu sefydliad xxx fygythiad yn sgil deunydd nad yw wedi’i ddinistrio’n briodol.
• defnyddio dulliau gwaredu cost-effeithiol ac ecogyfeillgar sy’n briodol i’r cyfryngau xxx sylw.
2. CYFLWYNIAD
Mae’r polisi hwn yn ymdrin â gwaredu data personol a gaiff ei storio yng nghofnodion Prifysgol Glyndŵr. Mae’n ofynnol cael polisi o’r xxxx xx mwyn sicrhau bod y dulliau gwaredu data’n bodloni gofynion y Ddeddf Diogelu Data. Fel arfer, cofnodion papur, cyfrifiadurol (CD, tâp data, cof bach ac ati) neu dâp fideo (ar gyfer teledu cylch cyfyng) yw cofnodion personol Prifysgol Glyndŵr, ond fe allent fod ar ffurfiau eraill. Mae’n bwysig i’r dull gwaredu cywir gael ei ddefnyddio ar gyfer y cyfrwng y caiff y cofnod ei storio arno, a hefyd ar gyfer y math o wybodaeth bersonol sy’n cael ei dinistrio.
Mae cydymffurfiaeth Prifysgol Glyndŵr â’r Ddeddf Diogelu Data yn rheswm hollbwysig dros sefydlu polisi gwaredu data ar gyfer gwybodaeth bersonol. Fodd bynnag, rhaid sylweddoli y gallai unrhyw ddata gan y Brifysgol na chaiff ei waredu’n briodol, ac a gaiff ei ddatguddio wedyn a’i gyhoeddi, achosi embaras, dadl a chyhoeddusrwydd niweidiol i Brifysgol Glyndŵr. O’r herwydd, mae’r polisi gwaredu data hwn yn angenrheidiol, ni waeth pa ofynion cyfreithiol a osodir arnom.
Rhaid cymryd gofal ychwanegol wrth waredu data personol sensitif.
Terminoleg: sylwer bod “gwaredu” yn cael ei ddefnyddio yn hytrach na “dileu” gan ei fod yn cael ei gysylltu â chyfryngau o xxx math, tra y mae “dileu” yn cael ei ddefnyddio’n fwy arferol ar gyfer cofnodion electronig a chofnodion papur yn unig.
3. GWEITHREDU’R POLISI
Dylid defnyddio’r polisi pan fo yna risg i ddata personol nad oes xx xxxxx mwyach ddod ar gael i drydydd parti pe na bai’n cael ei waredu gyda gofal priodol. Nid yw’r polisi’n berthnasol i achosion ad hoc o ddileu gwybodaeth mewn ffeiliau lleol, lle nad oes unrhyw oblygiadau o ran diogelwch: er enghraifft, pan gaiff casgliadau bach o gofnodion eu dileu mewn taenlen bersonol.
Sylwer nad yw’r polisi’n ymdrin â chyfnodau dargadw a ffefrir ar gyfer cofnodion, nac ychwaith â pholisïau archifo, ac nid yw’n xxxxx â’r gwahaniaethau rhwng mathau o gofnodion (meddygol, ariannol, disgyblu ac ati): mae a wnelo’n unig â’r dulliau a ddefnyddir ar gyfer gwaredu’r data. Gellir dod o hyd i’r amserlen dargadw, sy’n nodi am ba hyd y dylid cadw gwybodaeth, yn y Polisi Rheoli Cofnodion
xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/ xxx.xxxxxxx.xx.xx/xx/xxxxxxxxxxxXxxxxxxxxx/Xxxxxxxx/
4. DIRPRWYO CYFRIFOLDEBAU
4.1.1 Trydydd Partïon
Ni ddylech ddirprwyo cyfrifoldeb dros waredu gwybodaeth bersonol i drydydd parti, ac eithrio yn yr achosion a ganlyn:
• Mae gennych gytundeb clir gydag adran fewnol y byddant hwy’n ysgwyddo cyfrifoldeb llawn dros waredu cofnodion penodol (e.e. pan fo’r Gwasanaethau TG, am resymau technegol, wedi cytuno i ddileu cofnodion o ddisgiau cyfrifiadurol trwy ddefnyddio offer arbenigol neu pan fo Gwasanaethau’r Campws yn gweithredu gwasanaeth ar gyfer gwaredu gwastraff cyfrinachol).
• Rydych yn defnyddio cytundeb ysgrifenedig ffurfiol gyda pharti allanol ar gyfer gwaredu data (e.e. defnyddio gwasanaethau rhwygo cyfrinachol).
• Efallai y bydd yna achosion pan fydd trydydd parti’n prosesu data ar xxxx xxxx. Ar ôl i’r contract neu’r cytundeb ddod i ben gyda’r trydydd parti, rhaid i’r Brifysgol sicrhau bod y
trydydd parti xxx sylw yn gwaredu’r data personol y mae’n ei gadw ar ein rhan, a hynny mewn modd priodol a diogel. Dylid cyfeirio yn y contract neu’r cytundeb y mae’r Brifysgol wedi’u harwyddo at y modd y bydd y trydydd parti’n gwaredu’r data personol. Mae’n hanfodol ichi gadarnhau hyn ar ôl i’r contract/cytundeb ddod i ben.
Rheoli Data
Ar ôl i gytundeb neu gontract ddod i ben, rhaid ichi gael sicrwydd bod y data a gedwir ar systemau’r trydydd parti wedi cael ei waredu mewn modd diogel. Argymhellir y dylech gysylltu â’r trydydd parti i gael cadarnhad ffurfiol fod y gwaith gwaredu wedi cael ei wneud a’r modd y cafodd ei gwblhau. Dylid cynnwys y cadarnhad hwn yn y gofrestr asedau gwybodaeth at ddibenion rheoli data.
4.2 Cyfrifiaduron Bwrdd Gwaith, Gliniaduron a Dyfeisiadau eraill a chanddynt Storfa Electronig
Peidiwch byth â rhagdybio y bydd rhywun arall yn dileu gwybodaeth ar xxxx xxxx pe baech yn trosglwyddo Dyfais a chanddi Storfa Electronig i rywun arall ym Mhrifysgol Glyndŵr. Dylech wneud xxxx trefniadau xxxx hun ar gyfer cael gwared â’r xxxx gofnodion personol oddi ar gyfrifiaduron nad oes arnoch eu xxxxxx mwyach: ni ddylech ddibynnu ar y sawl a fydd yn defnyddio’r ddyfais ar xxxx xx i ysgwyddo’r cyfrifoldeb hwnnw, oni bai bod hyn wedi ei gytuno’n glir rhyngoch.
Sylwer y bydd yn rhaid i gofau bach USB symudol gael eu hamgryptio trwy gyfrwng systemau diogelwch meddalwedd priodol sy’n ddibynnol ar y dyfeisiadau a ddefnyddir, er enghraifft ‘bitlocker’ ar gyfer systemau Microsoft Office. Xxxx cyfrifoldeb chi yw sicrhau bod y cyfryngau storio symudol yn cael eu hamgryptio’n briodol.
5. CAMAU AR GYFER GWAREDU DATA
a) Gwiriwch fod y dull arfaethedig o waredu data personol yn cyd-fynd â chanllawiau dargadw data xxxx xxxxx: xxxx hyn amrywio’n fawr yn dibynnu ar y math o wybodaeth bersonol sydd xxx sylw (am ragor o wybodaeth, darllenwch y Polisi Rheoli Cofnodion a’r amserlen Dargadw Cofnodion gysylltiedig, neu cysylltwch â’r Swyddog Diogelu Data).
b) Gwnewch yn siŵr nad oes unrhyw drafodion perthnasol ar y gweill yn ymwneud ag unigolion a enwir yn y data: er enghraifft, camau disgyblu mewnol, anghydfod ynghylch contract, neu achos llys.
c) Ewch ati i ganfod a defnyddio’r dulliau gwaredu priodol a nodir isod:
Cofnodion a gaiff eu storio ar Gyfrifiadur Bwrdd Gwaith, Gliniadur neu ddyfais electronig debyg (pan fydd y ddyfais yn cael ei hailddefnyddio)
Os xxx xxxx o gronfa ddata, taenlen neu ffeil o’r fath yn unig yw’r cofnodion perthnasol, yna xxx xxxx gwared â’r cofnodion hynny trwy ddefnyddio gweithdrefn ddileu fewnol y rhaglen berthnasol yn dderbyniol. Er enghraifft, gallwch ddefnyddio’r nodwedd ‘Row deletion’ yn Excel i ddileu’r cofnodion perthnasol ac ni fydd angen ichi gymryd unrhyw gamau pellach.
Os ydych angen cael gwared yn llwyr â ffeiliau data nad ydynt yn cynnwys data personol sensitif, mae offer safonol Windows neu system weithredu arall yn ddigonol. Ond mae hyn yn rhagdybio y bydd y ddyfais yn parhau i gael ei defnyddio gan y defnyddiwr presennol cyn belled ag y gellir rhagweld, neu fel arall dylid glanhau’r ffeiliau, fel y nodir isod.
Mae glanhau ffeiliau’n angenrheidiol yn enwedig pan xxx xxxxx cael gwared â ffeiliau sy’n cynnwys gwybodaeth bersonol sensitif (gweler uchod). Mewn achosion o’r fath, ni allwch ddefnyddio’n ddiogel yr offer dileu ffeiliau yn Windows Explorer neu Apple IOS i gael gwared â ffeiliau Windows (e.e. ffeiliau Excel, Access a Word), a hynny gan ei bod yn eithaf hawdd, gyda rhywfaint o wybodaeth dechnegol, i adalw ffeiliau sydd wedi’u dileu yn y ffordd hon. Yn
hytrach, dylid defnyddio cyfleuster glanhau ffeiliau: gall y Gwasanaethau TG wneud hyn ar xxxx xxxx a dylech gysylltu â hwy i gael cymorth.
Cofnodion a gaiff eu storio ar Gyfrifiadur Bwrdd Gwaith, Gliniadur neu ddyfais electronig debyg (pan na ddisgwylir i’r ddyfais gael ei hailddefnyddio)
Pan na fydd y ddyfais yn cael ei defnyddio yn y dyfodol, rhaid dinistrio’r ddyfais (ni waeth sut fath o wybodaeth bersonol a gedwir arni). Bydd y Gwasanaethau TG yn sicrhau bod hyn yn cael ei wneud ar gyfer yr xxxx offer y xxx xxxxx cael gwared â hwy.
Cofnodion ar gyfrifiaduron rhwydwaith
Mae’r dulliau safonol o ddileu ffeiliau’n ddigonol ar gyfer ffeiliau sydd ar y rhwydwaith. Os yw’r wybodaeth a gaiff ei dileu’n hynod sensitif, dylech gysylltu â’r Gwasanaethau TG i sicrhau bod tapiau wrth gefn sy’n cynnwys copïau archif o’r ffeiliau hyn yn cael eu trin yn briodol.
Papur a microffilm
Y safon sylfaenol ar gyfer dinistrio cofnodion papur a microffilm sy’n cynnwys gwybodaeth bersonol yw eu rhwygo trwy ddefnyddio peiriannau rhwygo a gaiff eu darparu gan y Brifysgol. Dim ond pan fo modd sicrhau cyfrinachedd y gwaith y dylid dirprwyo’r dasg o rwygo’r cofnodion hyn i rywun arall. Fel arall, gellir rhoi’r cofnodion yng ngofal gweithredwr gwaredu gwastraff cyfrinachol y xxx xxx Brifysgol Glyndŵr gytundeb ysgrifenedig gydag ef ar gyfer gwaredu deunyddiau’n xx x xxxxx angenrheidiol.
Sylwer na ddylid byth roi cofnodion papur o’r fath mewn biniau sbwriel neu finiau ailgylchu nad ydynt ar gyfer gwastraff cyfrinachol heb eu rhwygo yn gyntaf.
Tapiau (yn cynnwys tapiau data a thapiau fideo)
Ar gyfer tapiau a fydd yn cael eu hailddefnyddio, gellir eu trosysgrifo gyda delweddau nad ydynt yn rhai personol neu wybodaeth wag, neu eu dadfagneteiddio. Ar gyfer tapiau na fyddant yn cael eu hailddefnyddio, rhaid eu dinistrio i’r graddau na ellir defnyddio’r getrisen mwyach, fel na fydd yn ymarferol i neb allu ailddefnyddio’r tâp.
Cofau Bach, Cyfrifiaduron Llechen, Ffonau Symudol a dyfeisiadau o’r fath
Ar gyfer cofau bach, cyfrifiaduron llechen ac ati fe fydd y dulliau a ddefnyddir i waredu’r cofnodion yn amrywio, yn dibynnu ar y ddyfais. Dylech gysylltu â’r Gwasanaethau TG i gael cyngor pan fyddwch angen dileu cofnodion yn barhaol. Os yw’r gwaredu’n xxxx x xxxxxx ‘glanhau’ cofnodion, ac os oes cyfresi o gofnodion yn cael eu dileu yn unol ag amserlen Dargadw Cofnodion y Brifysgol, yna dylid gwneud cofnod o’r gweithgaredd yng nghofrestr gwarediadau’r adran (holwch y Swyddog Diogelu Data am wybodaeth xxxxxxx). Bwriad hyn xx xxxxxx i Swyddfa’r Comisiynydd Gwybodaeth (h.y. yr asiantaeth sy’n gyfrifol am weithredu deddfwriaeth Diogelu Data) fod mesurau diogelu priodol wedi’u dilyn. Sylwer nad yw’n ofynnol cofnodi achosion o ddileu oni bai eu bod yn xxxx x xxxxx llwyrlanhau. Dylid cofnodi’r wybodaeth a ganlyn:
Manylion cyffredinol, h.y. y math o wybodaeth, er enghraifft cofnodion ffioedd dysgu ar gyfer 2013
• Dyddiad gwaredu
• Dull gwaredu, x.x. xxxxxx
• Swyddog cyfrifol