Neidio i'r prif gynnwy

Mae'r ddogfen bolisi briodol hon yn darparu gwybodaeth am y sail gyfreithiol a'n mesurau diogelu yn Awdurdod Cyllid Cymru (AAC) ar gyfer prosesu’n sensitif gategorïau arbennig o ddata personol a data troseddau.

1. Cwmpas

Datblygwyd y polisi hwn i fodloni gofyniad Deddf Diogelu Data 2018 am ddogfen bolisi briodol sy'n manylu ar y sail a'r amodau cyfreithlon ar gyfer prosesu data categori arbennig, data troseddau a data sensitif at ddibenion gorfodi'r gyfraith a'r mesurau diogelu rydym wedi'u rhoi ar waith pan fyddwn yn ei brosesu.

Mae'r polisi hwn yn cynnwys:

  • prosesu am resymau sydd o fudd sylweddol i’r cyhoedd, ar gyfer swyddogaethau statudol a chorfforaethol ACC
  • cyfraith cyflogaeth, nawdd cymdeithasol a gwarchodaeth gymdeithasol at ddibenion prosesu ym maes Adnoddau Dynol
  • prosesu sy’n ymwneud â gorfodi'r gyfraith

2. Sail gyfreithlon ar gyfer Prosesu

Mae ACC yn gorff statudol sydd â swyddogaethau statudol a dyletswydd statudol o gyfrinachedd a nodir yn Neddf Casglu a Rheoli Trethi (Cymru) 2016 (DCRhT). Fel rhan o swyddogaethau statudol a chorfforaethol ACC, rydym yn prosesu data categori arbennig a data euogfarnau troseddol o dan yr Erthyglau hyn o'r Rheoliad Cyffredinol y DU ar Ddiogelu Data (GDPR y DU):

  • Erthygl 6(a) o GDPR y DU (mae testun y data wedi cydsynio i brosesu ei ddata personol at un neu fwy o ddibenion penodol)
  • Erthygl 6(b) o GDPR y DU (mae prosesu'n angenrheidiol er mwyn cyflawni contract y mae testun y data yn barti iddo neu er mwyn cymryd camau ar gais testun y data cyn ymrwymo i gontract)
  • Erthygl 6(c) o GDPR y DU (mae prosesu'n angenrheidiol er mwyn cydymffurfio â rhwymedigaeth gyfreithiol y mae ACC yn ddarostyngedig iddi)
  • Erthygl 6(e) o GDPR y DU (mae prosesu'n angenrheidiol er mwyn cyflawni tasg a gyflawnir er budd y cyhoedd neu wrth arfer awdurdod swyddogol a freiniwyd i ACC)

Mae ACC yn prosesu data sensitif at ddibenion gorfodi'r gyfraith o dan adran 35 o Ddeddf Diogelu Data 2018.

Mae gan ein Polisi Preifatrwydd a’n Hysbysiadau ragor o wybodaeth am weithdrefnau ACC a sut rydym yn prosesu data personol, gan gynnwys y math o wybodaeth sydd gennym a'r hyn y mae'n cael ei defnyddio ar ei gyfer.

3. Diffinio data categori arbennig, data sensitif a data euogfarnau troseddol

Mae data categori arbennig (a ddiffinnir gan Erthygl 9 o'r GDPR y DU) a data sensitif (a ddiffinnir gan adran 35 o Deddf Diogelu Data 2018) yn ddata personol sy'n datgelu:

  • tarddiad o ran hil neu ethnigrwydd
  • barn wleidyddol
  • credoau crefyddol neu athronyddol
  • aelodaeth o undeb llafur
  • data genetig
  • data biometrig at ddiben adnabod person naturiol yn unigryw
  • data sy'n ymwneud ag iechyd
  • data sy'n ymwneud â bywyd rhywiol neu gyfeiriadedd rhywiol person naturiol

Mae adran 11(2) o Ddeddf Diogelu Data 2018 yn datgan bod data euogfarnau troseddol yn cynnwys data sy'n ymwneud â'r weithred honedig o gyflawni troseddau ac achosion cysylltiedig a dedfrydu.

4. Amodau ar gyfer prosesu data categori arbennig a data euogfarnau troseddol

Mae ACC yn prosesu data categori arbennig o dan baragraffau canlynol Erthygl 9 y GDPR y DU:

  • paragraff 2(a) (mae testun y data wedi rhoi caniatâd penodol i brosesu'r data personol hynny at un neu fwy o ddibenion penodedig (e.e. ar gyfer dilysu biometrig)
  • paragraff 2(b) (mae prosesu yn angenrheidiol at ddibenion cyflawni rhwymedigaethau ac arfer hawliau penodol ACC neu destun y data ym maes cyflogaeth a nawdd cymdeithasol a chyfraith diogelu cymdeithasol)
  • paragraff 2(g) (mae prosesu'n angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd)

Mae erthygl 10 y GDPR y DU yn caniatáu prosesu data personol sy'n ymwneud ag euogfarnau troseddol a throseddau o dan reolaeth awdurdod swyddogol. Caiff ACC felly brosesu data euogfarnau troseddol o dan Erthygl 10 y GDPR y DU gan ei fod yn arfer awdurdod swyddogol o fewn yr ystyr a nodir yn adran 8 o Ddeddf Diogelu Data 2018.

5. Budd sylweddol i'r cyhoedd

Mae ACC yn prosesu data categori arbennig lle mae am resymau sydd o fudd sylweddol i'r cyhoedd.

Yn ôl adran 10(3) o Ddeddf Diogelu Data 2018, er mwyn i’r gwaith o brosesu categorïau arbennig o ddata personol fod yn angenrheidiol am resymau sydd o fudd sylweddol i’r cyhoedd o dan Erthygl 9(2)(g) o'r GDPR y DU, rhaid i'r gwaith prosesu hwnnw fodloni un o'r amodau a nodir yn Rhan 2 o Atodlen 1.

Mae ACC yn prosesu data categori arbennig wrth gyflawni ei swyddogaethau statudol a chorfforaethol pan fodlonir yr amodau canlynol a nodir yn y paragraffau canlynol o

Ran 2 o Atodlen 1 y Ddeddf Diogelu Data 2018:

  • paragraff 6 (Dibenion statudol ac ati a dibenion llywodraethol)
  • paragraff 8 (Cyfle neu driniaeth gyfartal)
  • paragraff 10 (Atal neu ganfod gweithredoedd anghyfreithlon)

Mae'r amodau hyn yn berthnasol i swyddogaethau statudol a chorfforaethol ACC. Mae'r holl brosesu at y diben rhestredig cyntaf a gallai hefyd fod ar gyfer eraill, yn dibynnu ar y cyd-destun.

6. Cyfraith cyflogaeth, nawdd cymdeithasol a gwarchodaeth gymdeithasol

Yn ôl adran 10(2) o Ddeddf Diogelu Data 2018, er mwyn i’r gwaith o brosesu categorïau arbennig o ddata personol fod yn angenrheidiol at ddibenion cyflawni rhwymedigaethau ac arfer hawliau penodol ACC neu destun y data ym maes cyfraith cyflogaeth, nawdd cymdeithasol a gwarchodaeth gymdeithasol o dan Erthygl 9(2)(b) o'r GDPR y DU, rhaid i'r gwaith prosesu hwnnw fodloni un o'r amodau a nodir yn Rhan 1 o Atodlen 1.

Mae ACC yn prosesu data categori arbennig at ddibenion cyflogaeth pan fydd yr amod a nodir ym mharagraff 1 o Ran 1 o Atodlen 1 y Ddeddf Diogelu Data 2018 wedi'i fodloni.

7. Dibenion ystadegol

O dan Erthygl 9(2)(j) o'r GDPR y DU, gall ACC brosesu data categori arbennig lle mae'n angenrheidiol at ddibenion ystadegol yn unol ag Erthygl 89(1), ar yr amod bod y gwaith prosesu'n gymesur â'r nod a geisir, yn parchu hanfod yr hawl i ddiogelu data ac yn darparu mesurau addas a phenodol i ddiogelu hawliau sylfaenol a budd testun y data. Gallwn hefyd brosesu data euogfarnau troseddol at y dibenion hyn o dan Ddeddf Diogelu Data 2018.

O dan adran 10(2) o Ddeddf Diogelu Data 2018, caiff ACC brosesu data categori arbennig a data euogfarnau troseddol at ddibenion archifo, ymchwil ac ystadegau pan fodlonir amod o Ran 1 o Atodlen 1 y Ddeddf Diogelu Data 2018.

8. Prosesu’n ymwneud â gorfodi'r gyfraith

Mae Adran 31 o Ddeddf Diogelu Data 2018 yn diffinio dibenion gorfodi'r gyfraith fel atal, ymchwilio, canfod neu erlyn troseddau neu weithredu cosbau troseddol, gan gynnwys diogelu rhag bygythiadau i ddiogelwch y cyhoedd a'u hatal. Rhestrir ACC fel awdurdod cymwys at ddibenion gorfodi'r gyfraith ym mharagraff 22 o Atodlen 7 y Ddeddf Diogelu Data 2018 ac nid yw'n dibynnu ar gydsyniad testun y data i brosesu data sensitif.

Mae adran 35(5) o Ddeddf Diogelu Data 2018 yn nodi bod yn rhaid i ACC fodloni o leiaf un o'r amodau yn Atodlen 8 pan fo angen prosesu yn benodol at ddibenion gorfodi'r gyfraith.

Mae ACC yn prosesu data at ddibenion gorfodi'r gyfraith pan fydd yr amodau a nodir ym mharagraffau canlynol Atodlen 8 y Ddeddf Diogelu Data 2018 wedi'u bodloni:

  • paragraff 1 (Dibenion statudol ac ati)
  • paragraff 5 (Data personol sydd eisoes ar gael i'r cyhoedd)
  • paragraff 6 (Hawliadau cyfreithiol)
  • paragraff 8 (Atal twyll)
  • paragraff 9 (Archifo ac ati)

Mae'r holl waith prosesu at y diben rhestredig cyntaf a gallai hefyd fod ar gyfer eraill, yn dibynnu ar y cyd-destun.

9. Cydymffurfiaeth ACC â'r egwyddorion diogelu data

Yn unol â'r egwyddor atebolrwydd, mae ACC yn cadw cofnodion o weithgareddau prosesu o dan Erthygl 30 o’r GDPR y DU ac adran 61 y Ddeddf Diogelu Data 2018. Rydym yn cynnal asesiadau effaith diogelu data lle y bo'n briodol yn unol ag Erthyglau 35 a 36 o’r GDPR y DU ac adran 64 o Ddeddf Diogelu Data 2018 ar gyfer gwaith prosesu sy’n ymwneud â gorfodi'r gyfraith er mwyn sicrhau diogelwch data fel rhan annatod o’r broses.

Mae ACC yn dilyn yr egwyddorion diogelu data a nodir yn Erthygl 5 o'r GDPR y DU, a Rhan 3, Pennod 2 o Ddeddf Diogelu Data 2018 ar gyfer gwaith prosesu sy’n ymwneud â gorfodi'r gyfraith, fel a ganlyn:

9.1 Cyfreithlondeb, tegwch a thryloywder

Rydym yn awdurdod treth i Gymru ac mae'r refeniw a gasglwn ac a reolwn yn ariannu gwasanaethau cyhoeddus yng Nghymru.

Mae adrannau 12 i 15 o Ddeddf Casglu a Rheoli Trethi (Cymru) 2016 (DCRhT) yn nodi swyddogaethau ACC.

Mae adrannau 16 i 20 o'r DCRhT yn nodi'r ffordd y gall ACC ddefnyddio'r wybodaeth y mae'n ei chadw. Rydym yn darparu gwybodaeth glir a thryloyw i bawb sy'n darparu data personol i ni ym Mholisi Preifatrwydd a Hysbysiadau Preifatrwydd ACC.

9.2 Cyfyngu ar ddiben

Nid yw ACC yn prosesu data personol at ddibenion sy'n anghydnaws â'r dibenion y'i cesglir ar eu cyfer. Pan fyddwn yn prosesu data personol i gyflawni ein swyddogaethau statudol, rydym yn gwneud hynny yn unol ag adrannau 12 i 15 o'r DCRhT.

Pan fyddwn yn rhannu data categori arbennig, data sensitif neu ddata euogfarnau troseddol gyda rheolydd, prosesydd neu awdurdodaeth arall, byddwn yn sicrhau bod y trosglwyddiadau data yn cydymffurfio â chyfreithiau a rheoliadau perthnasol ac yn defnyddio cytuniadau, cytundebau rhannu data a chontractau rhyngwladol priodol.

9.3 Lleihau faint o ddata a gesglir

Rydym yn casglu data personol sy'n ddigonol, yn berthnasol ac yn gyfyngedig i'r dibenion perthnasol y caiff ei brosesu ar eu cyfer. Rydym yn sicrhau bod y wybodaeth a broseswn yn angenrheidiol at ein dibenion ac yn gymesur â'n dibenion.

9.4 Cywirdeb

Bydd data personol yn gywir a, lle bo angen, yn cael ei ddiweddaru. Lle bo’n hysbys i ni fod data personol yn anghywir neu'n hen, gan roi sylw i'r diben y mae'n cael ei brosesu ar ei gyfer, byddwn yn cymryd pob cam rhesymol i gymryd camau unioni priodol ar gyfer y data hwnnw'n ddi-oed.

9.5 Cyfyngiadau storio

Mae ACC yn cadw data categori arbennig, data euogfarnau troseddol a data sensitif ar gyfer gwaith prosesu sy’n ymwneud â gorfodi'r gyfraith yn unol â'r amserlen cadw a gwaredu, a gyhoeddir ar https://llyw.cymru/awdurdod-cyllid-cymru. Gellir cadw'r categorïau hyn o ddata personol am fwy o amser na chyfnod cadw safonol arferol ACC os yw'n ofynnol oherwydd rhesymau statudol, rheoleiddiol, cyfreithiol neu ddiogelwch.

9.6 Uniondeb a chyfrinachedd

Rydym wedi rhoi gweithdrefnau technegol, corfforol a rheolaethol priodol ar waith er mwyn diogelu a sicrhau'r wybodaeth a gasglwn am unigolion. Mae gennym safonau diogelwch llym, ac mae ein holl staff a'r rhai sy'n prosesu data personol ar ein rhan yn cael hyfforddiant rheolaidd ar sut i gadw gwybodaeth yn ddiogel. Rydym yn cyfyngu mynediad i'ch gwybodaeth bersonol i'r gweithwyr neu’r trydydd partïon hynny sydd ag angen o ran busnes neu’r gyfraith i gael gafael arno.

Ni fydd trydydd partïon neu gontractwyr y mae ACC yn ymgysylltu â hwy ond yn prosesu eich gwybodaeth bersonol yn ôl ein cyfarwyddiadau neu gyda'n cytundeb, a lle maent yn gwneud hynny maent wedi cytuno i drin y wybodaeth yn gyfrinachol a'i chadw'n ddiogel. Byddwn hefyd yn datgelu data personol i asiant os byddwn yn derbyn caniatâd yr unigolyn y mae'r data yn ymwneud ag ef.

10. Datganiad adolygu polisi

Caiff y polisi hwn ei adolygu a'i ddiweddaru o bryd i'w gilydd.