Cyflwyniad
Ganolfan Gwasanaethau Cyhoeddus Digidol (CDPS) wedi ymrwymo’n gadarn i ddiogelu data personol. Mae’r polisi preifatrwydd hwn yn egluro’r canlynol:
- pwy ydym ni
- pa wybodaeth rydym ni’n ei chasglu
- sut yr ydym yn casglu eich gwybodaeth, pam mae ei hangen arnom a sut y byddwn yn ei ddefnyddio
- pa sail gyfreithiol sydd gennym i brosesu eich data personol
- pa bryd fyddwn ni’n rhannu data personol
- ble rydym yn storio ac yn prosesu data personol
- sut rydym ni’n diogelu data personol
- am ba hyd ydym ni’n cadw data personol
- eich hawliau mewn perthynas â data personol, gan gynnwys eich hawliau i dynnu cydsyniad yn ôl
- dolenni at wefannau eraill a chysylltiad trydydd parti
- sut i gysylltu â ni, gan gynnwys sut i wneud cwyn gydag awdurdod goruchwylio
- sut a phryd rydym ni’n adolygu ein hysbysiad preifatrwydd
Rydym yn argymell eich bod yn darllen yr hysbysiad preifatrwydd hwn yn drwyadl. Cysylltwch â ni os oes gennych unrhyw gwestiynau neu bryderon yn ymwneud â’n harferion preifatrwydd. Mae ein manylion cyswllt ar ein gwefan, ac fe’u cynhwysir yn yr polisi preifatrwydd hwn.
Pwy ydym ni
Mae CDPS yn Gwmni Cyfyngedig (09341679) sydd ym mherchenogaeth lwyr Llywodraeth Cymru. Rydym yn gweithredu fel Rheolydd Data yn yr amgylchiadau canlynol:
- Rheolydd Data – data a gesglir i’n galluogi ni i gynnal busnes arferol fel y Ganolfan Gwasanaethau Cyhoeddus Digidol
Ein Swyddog Diogelu Data yw John Morris, Rheolwr Busnes, a gellir cysylltu ag ef drwy e-bostio personal.data@digitalpublicservices.gov.wales
Pa wybodaeth rydym ni’n ei gasglu
Pan fyddwn yn sôn am ddata personol neu wybodaeth bersonol, rydym yn cyfeirio at y wybodaeth honno’n unig sy’n galluogi i unigolion gael eu hadnabod. Nid yw’n cynnwys data lle mae hunaniaeth yr unigolyn wedi’i ddileu.
Mae ein gweithgareddau ymgysylltu ledled Cymru, y DU ac yn rhyngwladol, yn hanfodol i’n llwyddiant. Rydym yn casglu ac yn prosesu gwybodaeth gyda phartneriaid strategol allweddol ar draws y sector cyhoeddus, academaidd, gwasanaethau proffesiynol a mentrau a phrosiectau eraill a ariennir. Mae hyn yn cynnwys y categorïau gwybodaeth canlynol:
- data adnabod sy’n cynnwys eich enw, dyddiad geni, rhif pasbort, rhif trwydded yrru â llun, buddiannau busnes a rhywedd
- data ariannol gan gynnwys cyfeiriad bilio, manylion y cyfrif, manylion deiliaid cyfrif banc a manylion cerdyn banc
- data cyswllt (cyfeiriad e-bost, rhif ffôn)
- data Marchnata a Chyfathrebu – dewisiadau ar gyfer derbyn marchnata
- categorïau data arbennig fel rhan o’n prosesau recriwtio, a allai gynnwys:
- Tarddiad Hiliol neu ethnig a gyflenwir yn wirfoddol yn ystod y broses recriwtio
- Datganiad o droseddau yn ystod y broses recriwtio o dan y Ddeddf Adsefydlu Troseddwyr fel rhan o’n dyletswydd i ddilyn Safonau Diogelwch Sylfaenol ar gyfer Personél (BPSS) Llywodraeth EM
I roi hyn mewn cyd-destun, mae’n cynnwys gwybodaeth bersonol a gesglir:
- ddata a gedwir i gynnal yr Adolygiad o’r Tirwedd Ddigidol
- os byddwch yn cysylltu â ni
- os ydych chi’n mynychu digwyddiad a drefnwyd gennym
- os ydych chi’n rhanddeiliad neu’n aelod o grŵp diddordeb arbennig
- os ydych chi’n gwneud cais am swydd gyda ni
- os ydych chi’n cyflenwi nwyddau neu wasanaethau i ni
- os ydych chi’n trefnu digwyddiad neu gyfarfod yn CDPS
- pob ffurf o gyfathrebu â ni, gan gynnwys e-bost, y cyfryngau cymdeithasol, cyfathrebu llafar a dros y ffôn
Sut yr ydym yn casglu eich gwybodaeth? Pam mae ei hangen arnom? Sut y byddwn yn ei ddefnyddio?
Pan fyddwch chi’n cysylltu â ni ynglŷn â’r gwaith rydym yn ei wneud, byddwn yn trafod eich data gyda’r gofal pennaf ac rydym yn sensitif i’r angen i drafod pob data’n gyfreithlon, yn deg ac yn dryloyw.
Mae’r fethodoleg casglu data’n amrywio, ond mae’n cynnwys a heb ei chyfyngu i:
- gwybodaeth a gasglwyd drwy e-bost neu gyswllt ysgrifenedig
- gwybodaeth a gasglwyd drwy gysylltiad dros y ffôn
- gwybodaeth a gasglwyd trwy lenwi ffurflen ar-lein ar ein gwefan
- gwybodaeth a gasglwyd ar lafar neu’n ysgrifenedig mewn digwyddiadau neu mewn cysylltiad â digwyddiadau a gynhaliwyd gan CDPS neu bartneriaid
- gwybodaeth a gasglwyd i gefnogi grwpiau diddordeb arbennig, rhaglenni a phrosiectau
- gwybodaeth a gasglwyd drwy’r cyfryngau cymdeithasol e.e., Facebook, X, YouTube, a LinkedIn
- gwybodaeth a gyflenwyd gan drydydd partïon neu o ffynonellau sydd ar gael i’r cyhoedd, e.e.; Tŷ’r Cwmnïau, Credit Safe fel rhan o’n gwiriadau diwydrwydd dyladwy
Dylech hefyd fod yn ymwybodol o’n cyfrifoldebau o dan ddeddfwriaeth Rhyddid Gwybodaeth, ein cylch gwaith i ddarparu gwybodaeth i fodloni gofynion archwilio mewnol ac allanol a’n rhwymedigaethau cyfreithiol (e.e. atal twyll).
Pa sail gyfreithiol sydd gennym i brosesu eich data personol?
Mae gennym sail gyfreithiol ar gyfer prosesu data personol bob amser, ac mae’r sail gyfreithiol a ddefnyddiwn fel a ganlyn:
- lle mae prosesu data yn angenrheidiol ar gyfer cyflawni contract y mae gwrthrych y data yn barti iddo
- lle mae gwrthrych y data wedi rhoi cydsyniad i brosesu ei ddata personol at un neu fwy o ddibenion penodol
- lle mae prosesu data yn angenrheidiol i gydymffurfio â rhwymedigaeth gyfreithiol yr ydym yn ddarostyngedig iddi
- lle mae prosesu data yn angenrheidiol i ddiogelu buddiannau hanfodol gwrthrych y data neu unigolion naturiol arall
- lle mae prosesu data yn angenrheidiol ar gyfer cyflawni gorchwyl a gynhelir er budd y cyhoedd neu i arfer awdurdod swyddogol a freiniwyd ynom ni (neu’r rheolydd)
- lle mae prosesu data yn angenrheidiol at ddibenion buddiannau dilys gennym ni neu gan drydydd parti, ac eithrio lle mae’r cyfryw fuddiannau wedi’u trechu gan fuddiannau neu hawliau a rhyddidau sylfaenol gwrthrych y data sy’n mynnu diogelu data personol
I roi’r defnydd o’r chwe sail gyfreithiol a ddefnyddiwn ar gyfer prosesu data personol mewn cyd-destun, byddwn yn defnyddio’r data a’r wybodaeth bersonol a gasglwn at y dibenion canlynol:
- i ateb unrhyw ymholiad a wneir gennych ac i ddarparu gwybodaeth i chi ynglŷn â’r gwasanaethau a ddarperir gennym
- i gyflawni ar unrhyw un o’n rhaglenni a gwasanaethau eraill a gynigir gennym
- i wneud taliad i chi, gan gynnwys trosglwyddo cyllid ar ôl cwblhau trafodaeth am wasanaethau rydych wedi eu darparu i ni
- i reoli ein perthynas â chi
- i gydymffurfio â’n rhwymedigaethau cyfreithiol a rheoliadol
- i gynnal gwiriadau credyd ac unrhyw wiriadau eraill y barnwn eu bod yn angenrheidiol i gadarnhau pwy ydych chi
- i ddelio ag unrhyw adborth gan gleientiaid neu gŵynion a wneir gennych
- i weinyddu, datblygu a gwella ein busnes
- i warchod ein busnes e.e., pe bai’n angenrheidiol dechrau cymryd camau i adennill dyledion neu amddiffyn hawliad cyfreithiol
- i wneud awgrymiadau ac argymhellion i chi am y gwasanaethau a ddarparwn a allai fod o ddiddordeb i chi
- i’ch gwahodd i unrhyw ddigwyddiad lletygarwch neu rwydweithio (ffisegol ac ar-lein) y gallwn ei gynnal neu y gallwn fod yn rhan ohono, ac a all fod o ddiddordeb i chi
- i hwyluso cyflwyno partner i gysylltiad busnes lle mae’r partner angen gwasanaethau’r cysylltiad busnes perthnasol
Rhaid bod gennym reswm cyfreithiol i brosesu eich gwybodaeth bersonol. Gan amlaf, byddwn yn defnyddio eich gwybodaeth bersonol yn yr amgylchiadau canlynol:
- lle bydd angen i ni gyflwyno’r rhaglen neu gyflawni’r contract ar gyfer gwasanaethau rydym ar fin ymrwymo iddynt neu wedi ymrwymo iddynt gyda chi
- lle bydd yn angenrheidiol er mwyn ein buddiannau dilys (neu rai trydydd parti) ac nad yw eich buddiannau na’ch hawliau sylfaenol yn drech na’r buddiannau hynny
- lle bydd angen i ni gydymffurfio â rhwymedigaeth gyfreithiol neu reoleiddiol
- lle rydych wedi rhoi eich cydsyniad i brosesu eich gwybodaeth bersonol
Byddwn ond yn defnyddio eich gwybodaeth bersonol at y dibenion y cafodd ei chasglu ar eu cyfer, oni bai ei fod yn rhesymol i ni gredu bod angen i ni ei ddefnyddio am reswm arall a bod y rheswm hwnnw’n gydnaws â’r diben wreiddiol. Caiff gwybodaeth ond ei chadw cyhyd â bod rheswm cyfreithiol i wneud hynny, a chaiff gwybodaeth nad oes ei hangen mwyach ei dinistrio mewn ffordd na ellir ei hail-greu. Os hoffech gael eglurhad o’r modd y mae’r prosesu i’r diben newydd yn gydnaws â’r diben gwreiddiol, cysylltwch â ni.
Pa bryd fyddwn ni’n rhannu data personol?
Datgelu gwybodaeth at ddibenion cyfreithiol neu reoleiddiol
Efallai y bydd angen i ni ddatgelu eich gwybodaeth i drydydd parti fel rhan o waith parhaus i reoli rhaglenni a gofynion archwilio.
Yn ogystal, fel rhan o’n cylch gwaith i gynnal gwiriadau diwydrwydd dyladwy efallai y bydd angen i ni hefyd ryddhau gwybodaeth i ddwyn yn eu blaen gwiriadau llywodraethu ar gyfer gofynion penodol, rhaglenni, partïon (neu brosiectau) eraill. Byddwn yn ymgymryd â’r broses hon mewn modd gyfreithlon, cymesur a diogel.
Mae trydydd partïon yn cynnwys:
- cynghorwyr ac ymgynghorwyr allanol sydd â chysylltiad uniongyrchol â chyflawni’r rhaglen/prosiect (noder bod pob cynghorydd/ymgynghorydd wedi eu rhwymo i ofynion cyfrinachedd yn eu contractau)
- Llywodraeth Cymru
- sefydliadau sy’n darparu cyllid a/neu gymorth i arloesi
- ein cynghorwyr proffesiynol e.e., cyfreithwyr, bancwyr, cyfrifyddion
- darparwyr gwasanaethau trydydd parti sy’n darparu gwasanaethau gweinyddol a chymorth i ni
- HMRC
Byddwn yn sicrhau, os bydd yn ofynnol rhannu gwybodaeth, y bydd yn cael ei rannu’n ddiogel, a byddwch yn cael eich hysbysu ein bod wedi ei rannu, gyda phwy rydym wedi rhannu a sut yr ydym wedi rhannu.
Ble rydym yn storio ac yn prosesu data personol?
Mae data CDPS yn cael ei storio o fewn:
- SafeHR
- Consent Kit
- Google Analytics
- Google Drive
- Hotjar
- HubSpot
- Microsoft 365
- Miro
- ProBackup
- Trello
- WorkInConfidence
- Xero financial support tool
- Zoom
Rydym yn cynnal adolygiadau diogelwch rheolaidd o’n holl lwyfannau trydydd parti ac yn cynnal asesiadau risg fel y mynnir o dan Erthygl 35 GDPR y DU a Phennod 2 Deddf Diogelu Data 2018 (GDPR y Du) i gydymffurfio â’n dyletswydd fel Rheolydd Data. Mae’r systemau a nodwyd yn systemau trydydd parti nad ydynt wedi eu creu gennym ni nac yn berchen i ni, ac maent y tu hwnt i’n rheolaeth ni gyda’u polisïau preifatrwydd eu hunain. Cysylltwch â’n Swyddog Diogelu Data a ragor o wybodaeth pe baech yn dymuno deall sut mae eich data’n cael ei brosesu gan y llwyfan perthnasol.
Mae CDPS yn rhoi ei weithgarwch Cyfrifyddu ar gontract allanol i drydydd parti. Y contractwr presennol yw Azets. Nid yw Azets yn trosglwyddo data y tu allan i’r Ardal Economaidd Ewropeaidd. Gellir gweld Polisi Preifatrwydd Azets yma.
Sut ydym ni’n diogelu data personol?
Mae gennym fesurau diogelwch priodol ar waith i atal eich gwybodaeth bersonol rhag cael ei cholli’n ddamweiniol, rhag cael ei ddefnyddio na’i chyrchu mewn modd anawdurdodedig neu ei ddefnyddio neu ei ddatgelu mewn ffordd arall.
I gyflawni hyn, rydym yn defnyddio technoleg ddiogel wedi’i hamgryptio i warchod yr holl wybodaeth bersonol sy’n cael ei storio gennym. Rydym yn gweithredu polisïau cyfoes sy’n cael eu hadolygu’n rheolaidd ar gyfer Diogelu Data, Polisi Cyfrineiriau, Diogelwch Gwybodaeth a Pharhad Busnes (gan gynnwys Asesiadau Risg drwy’r broses DPIA ac asesiadau risg unigol) i gynnal ein prosesau busnes ac i sicrhau bod yr holl bersonél yn ymwybodol o bwysigrwydd diogelwch data.
Caniateir mynediad at wybodaeth ar sail yr angen i wybod.
Am ba hyd rydym ni’n cadw eich data personol?
Rydym ond yn cadw ac yn prosesu data personol cyhyd a bod gofyniad contractiol neu ofyniad busnes i wneud hynny neu mae rhwymedigaeth arnom fel arall i gadw’r un wybodaeth o dan unrhyw ofyniad contractiol, rheoleiddiol, neu gyfreithiol. Pan fydd y gofyniad wedi dod i ben, caiff y wybodaeth ei ddileu’n ddiogel oddi ar ein systemau mewn ffordd fel bod gwybodaeth sy’n cael ei ddileu yn cael ei ddileu yn unol â rheoliadau diogelwch cyfredol.
Ein diweddaru ni
Fel rhan o’n cyfrifoldeb i sicrhau bod gwybodaeth rydym yn ei chadw amdanoch yn gyfoes, rydym yn dibynnu arnoch chi i’n diweddaru. Pan fydd unrhyw rai o’ch manylion yn newid, rydym yn gofyn i chi ein hysbysu fel y gallwn ddiweddaru ein cofnodion.
Eich hawliau cyfreithiol mewn perthynas data personol, gan gynnwys eich hawliau i dynnu cydsyniad yn ôl
Fel gwrthrych data, mae gennych hawliau mewn perthynas â’ch data personol, sef:
- mae gennych hawl i gael mynediad i’ch gwybodaeth bersonol
- mae gennych hawl i wybodaeth anghywir a gedwir amdanoch gael ei chywiro
- mae gennych hawl i wybodaeth nad ydych yn dymuno i ni ei chadw mwyach gael ei ddileu (gelwir hefyd yn hawl i gael eich anghofio)
- mae gennych hawl i gyfyngu ar brosesu eich data
- mae gennych hawl i gludadwyedd data – i’ch gwybodaeth bersonol gael ei chludo mewn fformat strwythuredig, a ddefnyddir yn gyffredin, ac adnabyddadwy
- mae gennych hawl i wrthwynebu prosesu eich gwybodaeth bersonol
- mae gennych hawl i beidio â bod yn destun penderfyniad yn seiliedig ar brosesu awtomataidd yn unig, gan gynnwys proffilio, sy’n creu effeithiau cyfreithiol yn ymwneud â chi neu sy’n effeithio’n sylweddol arnoch chi
Mae gennych hawl hefyd i wneud Cais Gwrthrych am Wybodaeth. Fel rhan o’r broses hon, byddwch yn gallu cadarnhau:
- a yw eich data wedi’i brosesu neu beidio, ac os ydyw, pam
- categorïau’r data personol dan sylw
- ffynhonnell y data os nad ydych chi wedi darparu’r data gwreiddiol
- i bwy y gall eich data gael ei ddatgelu, gan gynnwys y tu allan i’r EEA a’r mesurau diogelu sy’n berthnasol i drosglwyddiadau o’r fath
Rydym yn cadw’r hawl i ddilysu eich hunaniaeth cyn rhyddhau gwybodaeth.
Ni fyddwn yn codi unrhyw daliadau am geisiadau o’r fath, oni bai bod y ceisiadau’n cael eu gwneud dro ar ôl tro ac yr ystyrir eu bod yn ormodol. Byddwn yn ymateb i’ch cais cyn pen 28 diwrnod.
Byddwn yn darparu ffurflen i chi ei lenwi ac a ddefnyddir gennym i sicrhau bod eich hawliau’n cael eu gweithredu’n llawn.
Os ydych chi wedi rhoi caniatâd CDPS i brosesu unrhyw ran o’ch data, mae gennych yr hawl hefyd i dynnu’r cydsyniad hwnnw’n ôl oni bai bod rhwymedigaeth gontractiol neu gyfreithiol arnom i gadw data. Bydd tynnu cydsyniad yn ôl hefyd yn arwain at dynnu cymorth gan wasanaethau neu raglen(ni) CDPS yr ydych wedi ymgofrestru â nhw. Mewn achosion lle nad oes angen i ni gadw data am resymau contractiol neu gyfreithiol, byddwn yn dileu’r data cyn gynted â phosibl a chyn pen 28 diwrnod man lleiaf.
Dolenni at wefannau eraill a chysylltiad trydydd parti
Mae CDPS yn cysylltu â safleoedd ac adnoddau allanol fel rhan o’n gweithgarwch busnes arferol. Mae hyn yn cynnwys storïau newyddion a dolenni at wefannau eraill fel rhan o’r wybodaeth sy’n cael ei rannu ar ein gwefan (e.e. storïau am wasanaethau digidol wedi’u hategu gan wybodaeth ategol gan Lywodraeth Cymru). Gall defnydd o’r dolenni hynny alluogi trydydd partïon i gasglu neu rannu eich gwybodaeth bersonol. Gan nad oes gennym unrhyw reolaeth dros sut y gall trydydd partïon gasglu a rhannu eich gwybodaeth, nid ydym yn derbyn unrhyw gyfrifoldeb am y defnydd a wnânt o’ch gwybodaeth.
Sut i gysylltu a ni, gan gynnwys sut i wneud cwyn gydag awdurdod goruchwylio
Gallwch gysylltu a’r Ganolfan Gwasanaethau Cyhoeddus Digidol mewn nifer o ffyrdd gwahanol. Byddwn yn delio â’ch ymholiad yn yr un ffordd ni waeth sut y byddwch yn dewis cysylltu â ni. Am ragor o wybodaeth am sut mae CDPS yn prosesu eich data, cysylltwch â ni drwy e-bostio data.personol@gwasanaethaucyhoeddusdigidol.llyw.cymru
Os ydych chi’n anhapus â’r modd y cafodd eich data personol ei brosesu, ac yn dymuno codi cwyn, gwnewch hynny drwy un o’r dulliau a ddisgrifiwyd uchod. Byddwn yn delio â’ch cwyn mewn modd sensitif, ac yn gyfrinachol, a byddwn yn ysgrifennu atoch gydag ymateb cyn pen 10 niwrnod gwaith.
Os ydych chi’n anfodlon, mae gennych hawl i gysylltu’n uniongyrchol â’r Comisiynydd Gwybodaeth (ICO). Gellir cysylltu â’r Comisiynydd Gwybodaeth dwy’r cyfeiriad isod:
Swyddfa’r Comisiynydd Gwybodaeth – Cymru
Llawr 2
Tŷ Churchill
Ffordd Churchill
Caerdydd
CF10 2HH
Ffôn: 029 2067 8400
Ffacs: 029 2067 8399
E-bost: wales@ico.gsi.gov.uk
Byddem yn ddiolchgar pe baech yn gadael i ni geisio datrys y mater yn gyntaf cyn ei gyfeirio at yr ICO.
Adolygu’r hysbysiad preifatrwydd
Rydym yn adolygu ein holl bolisïau a gweithdrefnau yn rheolaidd, a byddwn yn rhoi diweddariadau yn ein dogfennau ac ar ein tudalen we. Adolygwyd a diwygiwyd y polisi preifatrwydd hwn ddiwethaf ar y 14 Chwefror 2024.