POLISI CYFRINACHEDD A DIOGELU DATA
CYLCH MEITHRIN Y FELINHELI
Bydd Cylch Meithrin Y Felinheli yn sicrhau bod rhieni a gofalwyr yn ymwybodol o’r polisi hwn drwy y wybodaeth sydd i’w gael yn y llyfryn rhieni, copi o’r polisi ar gael i’w lawrlwytho oddi ar ein gwefan neu drwy ei ddarllen yn y ffeil bolisïau sydd yn cael ei gadw yn y Caban.
Mae’r polisi hwn yn berthnasol i holl weithwyr cyflogedig, gwirfoddolwyr, myfyrwyr ar brofiad gwaith, aelodau o bwyllgor y Cylch Meithrin, y plant o dan ein gofal a’u teuluoedd. Gall torri’r Polisi hwn arwain at achos disgyblu a gall achosion difrifol arwain at ddiswyddo yn ôl trefn disgyblu’r Cylch Meithrin.
Nod
Mae gan bawb hawliau o ran sut mae eu gwybodaeth bersonol yn cael ei thrin. Mae’r Cylch Meithrin yn cydnabod bod angen trin yr wybodaeth hon mewn ffordd briodol a chyfreithlon.
Nod y Cylch Meithrin yw sicrhau y cedwir pob gwybodaeth am yr holl weithwyr cyflogedig, gwirfoddolwyr, myfyrwyr ar brofiad gwaith, ac aelodau o bwyllgor y cylch meithrin, rhieni/gofalwyr/gwarcheidwaid a’r plant yn ddiogel ac yn gyfrinachol yn unol â gofynion y Rheoliad Gwarchod Data Cyffredinol (RhGDC) (General Data Protection Regulation, GDPR).
Y Cylch Meithrin yw’r rheolwr data ar gyfer unrhyw ddata personol sy’n cael ei brosesu.
Ni fydd gwybodaeth yn cael ei rhannu na’i ddatgelu i bersonau / asiantaethau nag sy’n gymwys i dderbyn yr wybodaeth.
Hawliau Plant
Mae’r polisi hon yn rhan o sicrhau fod y Cylch Meithrin yn parchu hawliau plant sydd yng Nghonfensiwn y Cenhedloedd Unedig ar Hawliau Plant, yn benodol:
Erthygl 3: Dylai pob sefydliad sy’n ymwneud â phlant bob amser wneud yr hyn sydd orau i bob plentyn.
Erthygl 14: Mae gan blant yr hawl i feddwl a chreu’r hyn a fynnant ac i arfer eu crefydd, cyhyd ac nad ydynt yn cadw pobl eraill rhag mwynhau eu hawliau.
Erthygl 16: Mae gan blant yr hawl i breifatrwydd. Dylai’r gyfraith eu cadw rhag ymosodiadau ar eu ffordd o fyw, eu henw da, eu teuluoedd a’u cartrefi.
Rheoliad Gwarchod Data Cyffredinol (RhGDC) (2018)
Nid bwriad y Ddeddf yw atal casglu a phrosesu data personol[1], ond sicrhau ei fod yn cael ei wneud yn deg a heb effeithio’n negyddol ar hawliau’r unigolyn. Er mwyn i ddata personol gael eu prosesu’n gyfreithlon, mae’n rhaid bodloni amodau penodol.
Mae’r Cylch Meithrin yn ymrwymo i sicrhau y bydd data personol yn cael ei gadw, ei brosesu, a’i drosglwyddo yn ôl y Rheoliad Gwarchod Data Cyffredinol (2018) drwy sicrhau bod data personol a categorïau arbennig o ddata personol[2]:
- yn cael ei brosesu mewn ffordd teg, cyfreithlon a thryloyw.
- yn cael ei gasglu at ddibenion penodol, eglur a dilys.
- yn gywir, a lle bo angen, yn gyfoes.
- yn cael ei gadw mewn ffurf adnabyddadwy dim ond am y cyfnod sy’n angenrheidiol.
- yn cael ei brosesu ar gyfer pwrpasau cyfyngedig ac mewn ffordd briodol.
- yn ddigonol, yn berthnasol, yn angenrheidiol, ond nid yn ormodol at y diben.
- yn cael ei brosesu yn unol â hawliau’r unigolyn.
- yn cael ei gadw’n ddiogel.
- yn cael ei drosglwyddo dim ond i eraill sydd â phrosesau diogelwch digonol.
Hawliau Parthed Data a Gedwir am Unigolion
Ystyrir unrhyw wybodaeth sy’n ymwneud ag ‘unigolyn byw, adnabyddadwy’ yn ddata personol. Mae’n golygu unigolyn byw y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol. Nid yw ystadegau yn cyfri fel data personol.
Mae hawl gan unigolion i gael mynediad at yr wybodaeth a gedwir amdano/amdani yn awr ac yn y man o fewn rheswm. Dylid gwneud ceisiadau yn ysgrifenedig i’r Cylch Meithrin, a fydd yn ymateb i’r ceisiadau hyn. Fe fydd y Cylch Meithrin yn dilyn canllawiau Swyddfa’r Comisiynydd Gwybodaeth wrth ddelio ag unrhyw geisiadau o’r fath[3], a cheir mwy o fanylion ar y ffurflen ‘GDPRMM3: Proses Cais Mynediad at Wybodaeth gan Unigolyn’[4].
Fe fydd y Cylch Meithrin yn cofnodi unrhyw gais am wybodaeth o’r fath, a’i chadw ar ffurflen briodol[5].
Fe fydd y Cylch Meithrin yn dweud wrth unigolyn am eu hawliau pan fydd y Cylch yn casglu gwybodaeth bersonol. Mae gan bawb hawl:
- i gael gwybod (am eu hawliau ac am y ffaith bod eu data yn cael ei brosesu).
- i gael mynediad at y data personol rydych yn ei gasglu. (Cais Mynediad at Ddata / Subject Access Request).
- i gywiro’r gwybodaeth personol rydych yn ei gadw.
- i ddileu’r gwybodaeth personol rydych yn ei gadw.
- i gyfyngu prosesu’r gwybodaeth personol rydych yn ei gadw.
- i symudadwyedd (‘portability’) data (e.e. i symud eu data o un sefydliad i un arall)
- i wrthwynebu i chi casglu neu phrosesu’r gwybodaeth personol.
- mewn perthynas â defnyddio’r data personol i wneud penderfyniadau awtomataidd.
Cod Ymarfer
Mae’r Cylch Meithrin yn disgwyl i holl weithwyr cyflogedig, gwirfoddolwyr, myfyrwyr ar brofiad gwaith, ac aelodau o bwyllgor y Cylch Meithrin fod yn ymwybodol o, deall, a dilyn y polisi hwn.
Mae’r Cylch Meithrin yn ymrwymo i:
- gymryd pob cam sydd yn ymarferol bosib i sicrhau diogelwch unrhyw ddata personol a gesglir ac / neu a gedwir gan y Cylch Meithrin.
- sicrhau cyflwyno’r polisi hwn fel rhan o raglen anwytho staff newydd.
- nodi’n glir pwy (e.e. staff /gwirfoddolwyr / rheolwyr / aelodau pwyllgor) sydd yn cael mynediad at ddogfennau a ffeiliau penodol (e.e. mewn cyfarfod swyddogol megis cyfarfod pwyllgor neu gyfarfod rheoli) sy’n cael ei gofnodi gan nodi’r penderfyniad.
- sicrhau mai dim ond unigolion sydd â hawl i fynediad at y data, ac sydd angen cael mynediad at y data sydd yn medru cael at y data.
- ddiogelu unrhyw ddogfennau a ffurflenni sy’n nodi unrhyw wybodaeth bersonol am aelod o staff, myfyrwyr ar leoliad gwaith, gwirfoddolwyr, aelodau o’r pwyllgor/tîm rheoli, rhieni/gofalwyr/gwarcheidwaid a’r plant e.e. ffeil bersonél, gwybodaeth bersonol y plentyn, cofnodion cyflogau, manylion iechyd.
- sicrhau bod angen cyfrinair er mwyn cael mynediad at offer digidol sydd yn storio gwybodaeth sensitif.
- beidio gadael data personol mewn man cyhoeddus.
- ofyn am ganiatâd gan rieni i rannu manylion gyda cyrff allanol at bwrpasau arolygu (e.e. Estyn eisiau gweld cofnod cynnydd / Mudiad Meithrin eisiau gweld cofnod cynnydd fel rhan o’r cynllun achredu ansawdd).
- drefnu rhannu gwybodaeth gyda rhieni/gofalwyr/gwarcheidwaid am eu plentyn mewn man/ystafell breifat.
- ddilyn canllawiau’r Polisi hwn ynglyn â chadw unrhyw wybodaeth gyfrinachol yn ddiogel.
- ddilyn canllawiau’r Polisi E-Ddiogelwch ynglyn â chadw unrhyw wybodaeth ddigidol yn ddiogel.
Cyfrifoldeb y Lleoliad fel Deiliad Gwybodaeth Bersonol
Ni ddylid datgelu gwybodaeth bersonol am staff, myfyrwyr ar brofiad gwaith, gwirfoddolwyr, aelodau o’r pwyllgor/tîm rheoli, rhieni/gofalwyr/gwarcheidwaid na’r plant i unrhyw un y tu mewn, na’r tu allan i’r Cylch Meithrin, os nad oes angen amlwg i’r lleoliad i wneud hynny i gyflawni ei waith.
Fe fydd y Cylch Meithrin yn:
- rhannu datganiad preifatrwydd gydag unigolion sydd yn esbonio pa ddata rydych yn ei gasglu fel sefydliad, o ble mae’r data yn dod, dibenion a'r sail gyfreithiol ar gyfer prosesu, hawliau’r unigolyn (gan gynnwys yr hawl i dynnu caniatâd yn ôl ac i gyflwyno cwyn), derbynwyr posib y data, ac unrhyw ganlyniadau methu a darparu data.
- penodi unigolyn o fewn y sefydliad i fod yn gyfrifol am Ddiogelwch Data, ac yn cofnodi’r penderfyniad hyn.
- cynnal awdit o’r data sy’n cael ei gadw a’i phrosesu gan y cylch. Fe fydd yr awdit yn nodi pam mae’r data yn ei gasglu, ar gyfer beth, sut, ble mae’n cael ei gadw, ac am ba hyd[6].
- sicrhau dinistrio unrhyw wybodaeth nad oes angen ei gadw yn ddiogel.
- diogelu unrhyw ddata personol sydd yn cael ei gadw.
- cydymffurfio gydag unrhyw geisiadau am wybodaeth personol gan unigolion, gan gadw cofnod o’r ceisiadau ar ffurflen priodol.
Rhannu Gwybodaeth a Cheisiadau am Wybodaeth
Dim ond y Person Cofrestredig / Arweinydd neu’r sawl sy’n dirprwyo iddo / iddi sydd â’r hawl i rannu gwybodaeth gyfrinachol gydag asiantaethau eraill (e.e. AGC, Estyn, Gwasanaethau Cymdeithasol, Mudiad Meithrin).
Rhaid bod yna sail cyfreithiol ar gyfer unrhyw geisiadau prosesu data personol. Mae 6 sail cyfreithiol posib:
1. Cydsyniad/caniatâd y ‘data subject’ i wneud
2. Cytundeb - mewn cyswllt â chytundeb/archeb/darparu gwasanaeth
3. Er budd y cyhoedd (e.e. CCTV mewn gofod cyhoeddus)
4. Yn niddordeb hanfodol y ‘data subject’/unigolyn
5. Yn ein diddordeb cyfreithlon i gasglu (buddiannau cyfreithlon)
6. Rhwymedigaeth gyfreithiol i gasglu
Lle bo hynny’n briodol, gellir casglu gwybodaeth oddi wrth a’i rhannu, o dderbyn cais dilys, â’r sefydliadau neu’r unigolion a rhestr isod.
Fe fydd y Cylch Meithrin yn dilyn canllawiau Swyddfa’r Comisiynydd Gwybodaeth ar rannu gwybodaeth wrth ddelio ag unrhyw geisiadau o’r fath, ac yn sicrhau cofnodi unrhyw gais am wybodaeth o’r fath, a’i chadw ar ffurflen briodol[7].
- Yr unigolyn ei hun neu’r rhiant/gwarchodwr/gwarcheidwaid ar ran y plentyn.
- Cyflogwyr: cyn-gyflogwyr, cyflogwr presennol a darpar gyflogwyr.
- Cyllid y Wlad
- Y Swyddfa Gartref
- Adran Gwaith a Phensiwn (DWP)
- Yr Heddlu
- Gwasanaethau Cymdeithasol
- AGC
- Y Person Cofrestredig / Cadeirydd y Pwyllgor Rheoli / Rheolwr y Feithrinfa.
- Yr Adran Addysg Lleol
- Estyn
- Mudiad Meithrin
- Llywodraeth Cymru.
Gweler Polisi Amddiffyn Plant am broses i ddilyn os oes digwyddiad difrifol yn codi ac angen cloi ffeil record y plentyn lawr yn llwyr (mewn cydweithrediad gyda’r Heddlu/Gwasanaethau Cymdeithasol).
Ble mae angen rhannu gwybodaeth gyda Mudiad Meithrin, fe fydd y Cylch Meithrin yn:
- dilyn canllawiau Swyddfa’r Comisiynydd Gwybodaeth ar rannu gwybodaeth wrth rhannu gwybodaeth meintiol (e.e. data dilyniant addysg plentyn).
- dilyn datganiad preifatrwydd y Cylch Meithrin.
Cadw Gwybodaeth
Bydd y Cylch Meithrin yn:
- dilyn canllawiau’r Polisi hon ynglyn â chadw unrhyw wybodaeth yn ddiogel.
- dilyn canllawiau’r Polisi E-Ddiogelwch ynglyn â chadw unrhyw wybodaeth ddigidol yn ddiogel.
- cadw pob dogfen a ffurflen gyfrinachol mewn man diogel dan glo.
- sicrhau nad yw’r wybodaeth yn cael ei chludo o un man i’r llall, na’i gadael mewn man cyhoeddus.
- nodi’n glir pwy (e.e. staff / gwirfoddolwyr / arweinydd / aelodau pwyllgor) sydd yn cael mynediad at ddogfennau a ffeiliau penodol (e.e. mewn cyfarfod swyddogol megis cyfarfod pwyllgor / cyfarfod rheoli) sy’n cael ei gofnodi gan nodi’r penderfyniad.
- dilyn chanllawiau’r Polisi hwn ynglyn â rhannu gwybodaeth ag asiantaethau eraill.
- sicrhau mai dim ond unigolion sydd â hawl i fynediad at y data, ac sydd angen cael mynediad at y data sydd yn medru cael at y data.
Cyfnod Cadw Gwybodaeth
Bydd y Cylch Meithrin yn dilyn rheolau statudol ynglyn â chyfnodau cadw gwybodaeth ar gyfer mathau penodol o ddogfennau. Gweler manylion yn Atodiad 1 i’r polisi hwn.
Bydd y Cylch Meithrin yn sicrhau peidio a chadw gwybodaeth personol mewn ffurf adnabyddadwy am ddim mwy o amser nag sydd angen.
Gwaredu Gwybodaeth
Bydd y Cylch Meithrin yn sicrhau gwaredu gwybodaeth bersonol a chyfrinachol gan ddefnyddio dulliau diogel priodol.
Bydd y Cylch Meithrin yn:
- dinistrio dogfennau papur gan ddefnyddio peiriant rhwygo (Shredder).
- dinistrio disgiau hyblyg, cofbinnau a CD-ROMau gael eu dinistrio a llaw pan nad oes eu hangen mwyach (e.e. drwy eu torri’n ddarnau mân gyda siswrn).
- sicrhau dileu dogfennau digidol o’r storfa wrthgefn yn ogystal â’u dileu o’r system ei hun.
- sicrhau dinistrio a / neu dileu gwybodaeth personol pan nad oes ei hangen rhagor.
E-Ddiogelwch a Rhwydweithiau Cymdeithasol
Fe fydd y Cylch Meithrin yn dilyn canllawiau’r Polisi E-Ddiogelwch ynglyn â cadw data’n ddiogel yn unol â chanllawiau Swyddfa’r Comisiynydd Gwybodaeth[8].
Bydd y Cylch Meithrin yn dilyn canllawiau’r Polisi E-Ddiogelwch a sicrhau peidio torri cyfrinachedd a diogelu data digidol ar bob achlysur.
Bydd y Cylch Meithrin yn nodi’n glir pwy fydd yn gyfrifol am ddiweddaru’r manylion a rannir ar unrhyw dudalennau rhwydweithio cymdeithasol sydd yn rhan o waith y lleoliad, gan ddilyn canllawiau’r Polisi E-Ddiogelwch ar ddefnydd rhwydweithiau cymdeithasol.
Mae’r Cylch Meithrin yn disgwyl i holl weithwyr cyflogedig, gwirfoddolwyr, myfyrwyr ar brofiad gwaith, ac aelodau o bwyllgor y Cylch Meithrin, i ddilyn canllawiau’r Polisi E-Ddiogelwch pan fyddant yn defnyddio rhwydweithiau cymdeithasol yn eu bywyd personol.
Toriad Data
Mae Toriad Data (‘Data Breach’) yn doriad diogelwch sy’n arwain at un o bum canlyniad posibl:
- colli data personol,
- difrod i neu ddinistrio data personol,
- newid data personol heb awdurdod,
- datgelu gwybodaeth personol heb awdurdod,
- neu fynediad anawdurdodedig i wybodaeth personol.
Rhaid adrodd toriadau data perthnasol i’r ICO o fewn 72 awr a hysbysu’r unigolyn yn ogystal os oes risg uchel o effeithiau andwyol iddynt. Ceir mwy o fanylion, a ffurflen cofnodi ac hysbysu’r toriad data ar y ffurflen ‘GDPRMM2’[9].
Torri Cyfrinachedd
Bydd y Cylch Meithrin yn ystyried unrhyw achos o dorri cyfrinachedd yn fater difrifol, ac yn ymchwilio yn llawn i’r mater gan gyfeirio at y Polisi Staffio.
Gall torri’r Polisi hwn arwain at achos disgyblu a gall achosion difrifol arwain at ddiswyddo yn ôl trefn disgyblu’r Cylch Meithrin.
Polisïau Cysylltiedig
Polisi Amddiffyn Plant
Polisi E-Ddiogelwch
Polisi Staffio
Cysylltiadau a Gwybodaeth Ddefnyddiol
Awgrymir cyfeirio at y cyhoeddiadau a’r gwefannau isod am fwy o fanylion:
Swyddfa Comisiynydd Gwybodaeth: ‘Guide to the General Data Protection Regulation (GDPR)’ https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
Swyddfa Comisiynydd Gwybodaeth: ‘Special category data’ https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/
Swyddfa’r Comisiynydd Gwybodaeth ’Right of access’ https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/
Swyddfa’r Comisiynydd Gwybodaeth: ‘Register (notify) under the Data Protection Act’ https://ico.org.uk/for-organisations/register/
Swyddfa’r Comisiynydd Gwybodaeth: ‘Guide to Data Protection’ https://ico.org.uk/for-organisations/guide-to-data-protection/
Swyddfa’r Comisiynydd Gwybodaeth: ‘Data Sharing’ https://ico.org.uk/for-organisations/guide-to-data-protection/data-sharing/
Swyddfa’r Comisiynydd Gwybodaeth: ‘Security’ https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/
Swyddfa’r Comisiynydd Gwybodaeth ‘Personal Data Breaches’ https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/
Swyddfa’r Comisiynydd Gwybodaeth: ‘Data protection self assessment toolkit’ https://ico.org.uk/for-organisations/improve-your-practices/data-protection-self-assessment-toolkit/
Gellir gweld y polisi cyfrinachedd a diogelu data a'r Atodiadau yn ei gyfanrwydd yma.