1. Cyflwyniad
1.1 Rydym wedi’n hymrwymo i ddiogelu preifatrwydd ein hymwelwyr gwefan; yn y polisi hwn rydym yn egluro sut y byddwn yn trin eich data personol.
1.2 Trwy ddefnyddio ein gwefan a chytuno i'r polisi hwn.
2. Sut rydym yn defnyddio'ch data personol
2.1 Yn yr Adran 2 hon rydym wedi nodi:
- y categorïau cyffredinol o ddata personol y gallwn eu prosesu;
- y dibenion y gallwn brosesu data personol ar eu cyfer; a
- seiliau cyfreithiol y prosesu.
2.2 Efallai y byddwn yn prosesu gwybodaeth rydych chi'n ei darparu i ni at ddibenion tanysgrifio i'n hysbysiadau e-bost a/neu gylchlythyrau ("data hysbysu"). Gall y data hysbysu gynnwys eich enw a'ch cyfeiriad e-bost. Gellir prosesu'r data hysbysu at ddibenion anfon yr hysbysiadau a/neu'r cylchlythyrau perthnasol atoch. Y sail gyfreithiol ar gyfer y prosesu hwn yw cydsyniad.
2.3 Peidiwch â chyflenwi data personol unrhyw berson arall i ni oni bai ein bod yn eich annog i wneud hynny.
3. Trosglwyddiadau rhyngwladol o'ch data personol
3.1 Yn yr Adran 3 hon, rydym yn darparu gwybodaeth am yr amgylchiadau lle gellir trosglwyddo'ch data personol i wledydd y tu allan i'r Ardal Economaidd Ewropeaidd (AEE).
3.2 Mae ein Gwasanaeth Marchnata E-bost wedi'i leoli yn yr Unol Daleithiau. Mae'r Comisiwn Ewropeaidd wedi gwneud "penderfyniad digonolrwydd" mewn perthynas â deddfau diogelu data'r wlad hon. Bydd trosglwyddiadau i'r wlad hon yn cael eu gwarchod gan fesurau diogelu priodol, sef defnyddio cymalau diogelu data safonol a fabwysiadwyd neu a gymeradwywyd gan y Comisiwn Ewropeaidd.
4. Cadw a dileu data personol
4.1 Mae'r Adran 4 hon yn nodi ein polisïau a'n gweithdrefn ar gyfer cadw data, sydd wedi'u cynllunio i helpu i sicrhau ein bod yn cydymffurfio â'n rhwymedigaethau cyfreithiol mewn perthynas â chadw a dileu data personol.
4.2 Ni fydd data personol yr ydym yn eu prosesu at unrhyw ddiben neu ddibenion yn cael eu cadw am fwy o amser nag sy'n angenrheidiol at y diben hwnnw neu'r dibenion hynny.
4.3 Byddwn yn cadw ac yn dileu eich data personol fel sy’n dilyn:
- styrBydd eich data cyfrif/data hysbysu yn cael eu cadw nes i chi ofyn yn benodol iddynt gael eu dileu o'n systemau.
5. Diwygiadau
5.1 Efallai y byddwn yn diweddaru'r polisi hwn o bryd i'w gilydd trwy gyhoeddi fersiwn newydd ar ein gwefan.
5.2 Dylech wirio'r dudalen hon yn achlysurol i sicrhau eich bod yn hapus ag unrhyw newidiadau i'r polisi hwn.
5.3 Efallai y byddwn yn eich hysbysu am newidiadau i'r polisi hwn trwy e-bost neu drwy hysbysiad ar ein gwefan.
6. Eich hawliau
6.1 Yn yr Adran 6 hon, rydym wedi crynhoi'r hawliau sydd gennych o dan y gyfraith diogelu data. Mae rhai o'r hawliau'n gymhleth, ac nid yw'r holl fanylion wedi'u cynnwys yn ein crynodebau. Yn unol â hynny, dylech ddarllen y deddfau a'r canllawiau perthnasol gan yr awdurdodau rheoleiddio i gael esboniad llawn o'r hawliau hyn.
6.2 Eich prif hawliau o dan y gyfraith diogelu data yw:
- yr hawl i gyrchu;
- yr hawl i gywiro;
- yr hawl i ddileu;
- yr hawl i gyfyngu ar brosesu;
- yr hawl i wrthwynebu prosesu;
- yr hawl i gludadwyedd data;
- yr hawl i gwyno i awdurdod goruchwylio; a
- yr hawl i dynnu caniatâd yn ôl.
6.3 Mae gennych hawl i gadarnhad a ydym yn prosesu'ch data personol ai peidio a, lle rydym yn gwneud hynny, mynediad i'r data personol, ynghyd â gwybodaeth ychwanegol benodol. Mae'r wybodaeth ychwanegol honno'n cynnwys manylion dibenion y prosesu, y categorïau o ddata personol dan sylw a derbynwyr y data personol. Ar yr amod nad effeithir ar hawliau a rhyddid eraill, byddwn yn cyflenwi copi o'ch data personol i chi. Darperir y copi cyntaf yn rhad ac am ddim, ond gall copïau ychwanegol fod yn destun ffi resymol. Gallwch ein cyfarwyddo i ddarparu unrhyw wybodaeth bersonol sydd gennym amdanoch chi; bydd darparu gwybodaeth o'r fath yn ddarostyngedig i:
- cyflenwi tystiolaeth briodol o'ch hunaniaeth (at y diben hwn, byddwn fel arfer yn derbyn llungopi o'ch pasbort wedi'i ardystio gan gyfreithiwr neu fanc ynghyd â chopi gwreiddiol o fil cyfleustodau yn dangos eich cyfeiriad cyfredol).
6.4 Mae gennych hawl i gael unrhyw ddata personol anghywir amdanoch chi wedi'u cywiro a, gan ystyried dibenion y prosesu, i gael unrhyw ddata personol anghyflawn amdanoch chi wedi'u cwblhau.
6.5 Mewn rhai amgylchiadau mae gennych yr hawl i ddileu eich personol data heb oedi gormodol. Mae'r amgylchiadau hynny'n cynnwys: rydych chi'n tynnu caniatâd i brosesu ar sail cydsyniad yn ôl; mae'r prosesu at ddibenion marchnata uniongyrchol; ac mae'r data personol wedi'u prosesu'n anghyfreithlon. Fodd bynnag, mae rhai gwaharddiadau cyffredinol o'r hawl i ddileu. Mae'r gwaharddiadau cyffredinol hynny’n cynnwys lle mae angen prosesu: ar gyfer cydymffurfio â rhwymedigaeth gyfreithiol; neu ar gyfer sefydlu, ymarfer neu amddiffyn hawliadau cyfreithiol.
6.6 Mewn rhai amgylchiadau mae gennych hawl i gyfyngu ar brosesu’ch data personol. Yr amgylchiadau hynny yw: rydych chi'n herio cywirdeb y data personol; mae prosesu yn anghyfreithlon ond rydych chi'n gwrthwynebu dileu; nid oes angen y data personol arnom mwyach at ddibenion ein prosesu, ond mae angen data personol arnoch ar gyfer sefydlu, ymarfer neu amddiffyn hawliadau cyfreithiol; ac rydych wedi gwrthwynebu prosesu, hyd nes y dilysir y gwrthwynebiad hwnnw. Lle mae prosesu wedi'i gyfyngu ar y sail hon, efallai y byddwn yn parhau i storio'ch data personol. Fodd bynnag, dim ond fel arall y byddwn yn ei brosesu: gyda'ch caniatâd; ar gyfer sefydlu, ymarfer neu amddiffyn hawliadau cyfreithiol; ar gyfer amddiffyn hawliau person naturiol neu gyfreithiol arall; neu am resymau o fudd pwysig y cyhoedd.
6.7 Mae gennych hawl i wrthwynebu ein prosesu o'ch data personol ar seiliau sy'n ymwneud â'ch sefyllfa benodol, ond dim ond i'r graddau mai'r sail gyfreithiol ar gyfer y prosesu yw bod y prosesu yn angenrheidiol ar gyfer: cyflawni tasg a gyflawnir er budd y cyhoedd neu wrth arfer unrhyw awdurdod swyddogol sydd wedi'i freinio ynom; neu ddibenion y buddion cyfreithlon a ddilynir gennym ni neu gan drydydd parti. Os gwnewch wrthwynebiad o'r fath, byddwn yn peidio â phrosesu'r wybodaeth bersonol oni bai y gallwn ddangos seiliau dilys cymhellol dros y prosesu sy'n diystyru'ch buddiannau, hawliau a rhyddid, neu os yw'r prosesu ar gyfer sefydlu, ymarfer neu amddiffyn hawliadau cyfreithiol.
6.8 Mae gennych hawl i wrthwynebu ein prosesu o'ch data personol at ddibenion marchnata uniongyrchol (gan gynnwys proffilio at ddibenion marchnata uniongyrchol). Os gwnewch wrthwynebiad o'r fath, byddwn yn peidio â phrosesu’ch data personol at y diben hwn.
6.9 I'r graddau mai cydsyniad yw'r sail gyfreithiol ar gyfer prosesu’ch data personol, a bod prosesu o'r fath yn cael ei wneud trwy ddulliau awtomataidd, mae gennych hawl i dderbyn eich data personol gennym mewn fformat strwythuredig, a ddefnyddir yn gyffredin ac sy'n ddarllenadwy â pheiriant. Fodd bynnag, nid yw'r hawl hon yn berthnasol lle byddai'n effeithio'n andwyol ar hawliau a rhyddid eraill.
6.10 Os ydych yn ystyried bod ein prosesu o'ch gwybodaeth bersonol yn torri deddfau diogelu data, mae gennych hawl gyfreithiol i gyflwyno cwyn i awdurdod goruchwylio sy'n gyfrifol am ddiogelu data. Gallwch wneud hynny yn aelod-wladwriaeth yr UE lle rydych yn byw yn arferol, eich gweithle neu fan y tramgwydd honedig.
6.11 I'r graddau mai cydsyniad yw'r sail gyfreithiol ar gyfer prosesu’ch gwybodaeth bersonol, mae gennych hawl i dynnu'r caniatâd hwnnw yn ôl ar unrhyw adeg. Ni fydd tynnu'n ôl yn effeithio ar gyfreithlondeb prosesu cyn ei dynnu'n ôl.
6.12 Gallwch arfer unrhyw un o'ch hawliau mewn perthynas â'ch data personol trwy hysbysiad ysgrifenedig atom neu drwy e-bost at y swyddog diogelu data, y mae ei fanylion wedi'u hamlinellu isod (8.1).
7. Ein manylion
7.1 CAVMS Cyf sy'n berchen ar y wefan hon ac yn ei gweithredu.
7.2 Rydym wedi’n cofrestru yng Nghymru o dan rif cofrestru 05306170, ac mae ein swyddfa gofrestredig yn Tŷ Hafren, Rhodfa Hazell, Casnewydd, NP10 8FY.
7.3 Ein prif le busnes yw yng Nghanolfan Fusnes Cwrt Henstaff, Heol Llantrisant, Groes Faen, Caerdydd, CF72 8NG.
7.4 Gallwch gysylltu â ni:
- trwy'r post, gan ddefnyddio'r cyfeiriad post a roddir uchod;
- dros y ffôn, ar y rhif cyswllt a gyhoeddir ar ein gwefan; neu
- trwy e-bost, gan ddefnyddio'r cyfeiriad e-bost a gyhoeddir ar ein gwefan.
8. Swyddog diogelu data
8.1 Manylion cyswllt ein swyddog diogelu data yw: David Miller, dm@cavms.co.uk
Polisi Diogelu Data
Mae CAVMS Cyf wedi’i ymrwymo i ddiogelu'r holl ddata personol a sensitif y mae ganddo gyfrifoldeb amdano fel y Rheolwr Data a thrin data o'r fath yn unol â'r egwyddorion diogelu data a'r Rheoliad Diogelu Data Cyffredinol (GDPR).
Mae'r sail gyfreithiol ar gyfer prosesu data fel sy’n dilyn–
- Contract: mae'r prosesu’n angenrheidiol ar gyfer contract aelod tîm CAVMS a chontract addysgu myfyrwyr/rhieni.
- Rhwymedigaeth gyfreithiol: mae angen y prosesu er mwyn i CAVMS gydymffurfio â'r gyfraith (heb gynnwys rhwymedigaethau contractiol).
Yr aelodau CAVMS sy'n gyfrifol am ddiogelu data yn bennaf yw David Miller (Cyfarwyddwr) a John Murray (Cyfarwyddwr). Fodd bynnag, rhaid i bob aelod o dîm CAVMS drin holl wybodaeth myfyrwyr yn gyfrinachol a dilyn y canllawiau fel y'u nodir yn y ddogfen hon.
Mae CAVMS hefyd wedi’i ymrwymo i sicrhau bod aelodau ei dîm yn ymwybodol o bolisïau diogelu data, gofynion cyfreithiol a bod hyfforddiant digonol yn cael ei ddarparu iddynt.
Hysbysiad
Bydd ein gweithgareddau prosesu data’n cael eu cofrestru â Swyddfa'r Comisiynydd Gwybodaeth (ICO) fel sy'n ofynnol gan Reolwr Data cydnabyddedig. Mae manylion ar gael gan yr ICO:
https://ico.org.uk/about-the-ico/what-we-do/register-of-data-controllers/
Bydd newidiadau i'r math o weithgareddau prosesu data sy'n cael eu cynnal yn cael eu hysbysu i'r ICO a bydd y manylion yn cael eu diwygio yn y gofrestr.
Rhaid hysbysu'r unigolyn/unigolion dan sylw a'r ICO o fewn 72 awr i doriadau data personol neu sensitif.
Data Personol a Sensitif
Rhaid nodi'r holl ddata sydd o fewn rheolaeth CAVMS fel data personol, sensitif neu'r ddau er mwyn sicrhau eu bod yn cael eu trin yn unol â gofynion cyfreithiol ac nad yw mynediad iddynt yn torri hawliau'r unigolion y mae'n ymwneud â hwy.
Y diffiniadau o ddata personol a sensitif fydd y rhai a gyhoeddir gan yr ICO i er arweiniad:
https://ico.org.uk/for-organisations/guide-to-data-protection/key-definitions/
Bydd egwyddorion y Ddeddf Diogelu Data yn cael eu gweithredu i'r holl ddata a brosesir:
- sicrhau bod data'n cael eu prosesu'n deg ac yn gyfreithlon
- prosesu data at ddibenion cyfyngedig yn unig
- sicrhau bod yr holl ddata a brosesir yn ddigonol, yn berthnasol ac nid yn ormodol
- sicrhau bod y data a brosesir yn gywir
- peidio â chadw data yn hirach na'r hyn sy'n angenrheidiol
- prosesu'r data yn unol â hawliau gwrthrych y data
- sicrhau bod data'n ddiogel
- sicrhau nad yw data'n cael eu trosglwyddo heb ddiogelwch digonol.
Plant
Mae'n angenrheidiol i CAVMS gadw data cyfyngedig am blant (dan 16) gan gynnwys enw a dyddiad geni. Ni fydd unrhyw wybodaeth yn cael ei chadw heblaw'r wybodaeth a ddarperir gan y rhiant/gwarcheidwad a bydd yn cael ei thrin yn yr un modd â'r holl ddata sensitif fel y nodir yn y polisi hwn.
Hysbysiad Prosesu Teg/Preifatrwydd
Bydd CAVMS yn dryloyw ynghylch y broses arfaethedig o brosesu data ac yn cyfathrebu'r bwriadau hyn trwy roi gwybod i aelodau'r tîm, rhieni a disgyblion cyn prosesu data unigolyn.
Bydd hysbysiadau yn unol â chanllawiau ICO a, lle mae'n berthnasol, rhaid eu hysgrifennu ar ffurf sy'n ddealladwy i’r rhai a ddiffinnir fel ‘Plant’ o dan y ddeddfwriaeth.
https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-noticestransparency-and-control/
Efallai y bydd amgylchiadau lle bydd yn ofynnol i CAVMS, yn ôl y gyfraith neu er budd gorau ein myfyrwyr neu staff, drosglwyddo gwybodaeth i awdurdodau allanol, er enghraifft awdurdodau lleol. Mae'r awdurdodau hyn yn cadw’n gyfredol â'r gyfraith diogelu data ac mae ganddynt eu polisïau eu hunain sy'n ymwneud â diogelu unrhyw ddata y maent yn eu derbyn neu'n eu casglu. Bydd y bwriad i rannu data sy'n ymwneud ag unigolion â sefydliad y tu allan i CAVMS wedi'i ddiffinio'n glir o fewn hysbysiadau a rhoddir manylion y sail ar gyfer rhannu. Bydd data'n cael eu rhannu gyda phartïon allanol mewn amgylchiadau lle mae'n ofyniad cyfreithiol darparu gwybodaeth o'r fath.
Ceisiadau Mynediad Data (Ceisiadau Gwrthrych am Wybodaeth)
Mae gan bob unigolyn y mae eu data’n cael eu cadw gennym hawl gyfreithiol i ofyn am fynediad at ddata neu wybodaeth o'r fath am yr hyn a gedwir. Byddwn yn ymateb i geisiadau o'r fath o fewn mis a dylid eu gwneud yn ysgrifenedig at:
David Miller
CAVMS Cyf
Canolfan Fusnes Cwrt Henstaff
Heol Llantrisant
Groes Faen
Caerdydd CF72 8NG
Ni chodir tâl i brosesu'r cais.
Ni fydd data personol am ddisgyblion yn cael ei ddatgelu i drydydd partïon heb gydsyniad rhiant neu ofalwr y plentyn, oni bai ei fod yn ofynnol yn ôl y gyfraith neu er budd gorau'r plentyn.
Diogelwch a Lleoliad Data
Mae data copi caled, cofnodion a gwybodaeth bersonol yn cael eu storio o'r golwg ac mewn cabinet ffeilio dan glo.
Mae CAVMS yn cydnabod y gallai fod angen i rai staff gludo data rhwng ysgolion a'u cartref er mwyn cael mynediad atynt ar gyfer gwaith.
Mae'r canllawiau dilynol ar waith ar gyfer aelodau tîm CAVMS er mwyn lleihau'r risg y bydd data personol yn cael ei gyfaddawdu:
- Ni ddylid cymryd copïau papur o ddata neu wybodaeth bersonol o swyddfa CAVMS neu gartref aelodau'r tîm. Os yw'r rhain yn cael eu camleoli neu'n cael eu colli maent mewn perygl. Os nad oes unrhyw ffordd i osgoi cludo copi papur o ddata, ni ddylai'r wybodaeth fod i'w gweld mewn mannau cyhoeddus, na'i gadael heb oruchwyliaeth o dan unrhyw amgylchiadau.
- Dylid rhwygo copïau papur diangen o ddata, gwybodaeth sensitif neu ffeiliau disgyblion. Mae hyn hefyd yn berthnasol i nodiadau wedi’u hysgrifennu â llaw os yw'r nodiadau'n cyfeirio at unrhyw aelod arall o staff neu ddisgybl yn ôl enw.
- Rhaid cymryd gofal i sicrhau nad yw allbrintiau o unrhyw wybodaeth bersonol neu sensitif yn cael eu gadael mewn hambyrddau argraffydd neu lungopïwyr.
- Os edrychir ar wybodaeth ar gyfrifiadur personol a rennir, rhaid i aelodau tîm CAVMS sicrhau bod y ffenestr a'r dogfennau'n cael eu cau yn iawn cyn gadael y cyfrifiadur heb oruchwyliaeth. Ni ddylid edrych ar wybodaeth sensitif ar gyfrifiaduron cyhoeddus.
- Os oes angen cludo data, dylid eu lawrlwytho i ffon USB. Ni ddylid trosglwyddo'r data o'r ffon hon i unrhyw gyfrifiaduron cyhoeddus. Dylid golygu gwaith o'r USB, a'i gadw ar y USB yn unig.
- Rhaid i ffyn USB y mae staff yn eu defnyddio gael eu gwarchod gan gyfrinair.
- Wrth ddefnyddio data i gysylltu â mwy nag un rhiant, rhaid i aelodau tîm CAVMS sicrhau eu bod yn copïo'n ddall (Bcc:) yr holl dderbynwyr er mwyn osgoi rhannu data personol.
Mae'r canllawiau hyn wedi'u cyfathrebu'n glir i holl aelodau tîm CAVMS, a bydd unrhyw berson y canfyddir ei fod yn torri'r ymddygiad hwn yn fwriadol yn cael ei ddisgyblu yn unol â difrifoldeb eu camymddygiad.
Gwaredu Data
Mae CAVMS yn cydnabod bod gwaredu data diangen yn ddiogel yn elfen annatod o gydymffurfio â gofynion cyfreithiol ac yn faes lle mae mwy o risg. Dim ond i bartner gwaredu ardystiedig sydd â chymhwysedd amlwg i ddarparu gwasanaethau gwaredu diogel y bydd yr holl ddata a gedwir mewn unrhyw fath o gyfryngau (papur, tâp, electronig) yn cael eu trosglwyddo. Bydd yr holl ddata'n cael eu dinistrio neu eu dileu i lefelau y cytunwyd arnynt sy'n diwallu safonau cenedlaethol cydnabyddedig, gyda chadarnhad ar ôl cwblhau'r broses waredu.
Rhaid i waredu asedau TG sy'n dal data gydymffurfio â chanllawiau'r ICO:
https://ico.org.uk/media/fororganisations/documents/1570/it_asset_disposal_for_organisations.pdf
Mae CAVMS wedi nodi ffynhonnell gymwys ar gyfer gwaredu asedau a chasgliadau TG.
Mae CAVMS hefyd yn defnyddio Matthews Confidential Document Shredding i waredu data sensitif nad oes eu hangen mwyach.