Dogfen Polisi Priodol BDC

Rhagymadrodd

Mae Deddf Diogelu Data 2018 (“DDD”) yn amlinellu’r gofyniad i Ddogfen Polisi Priodol (DPP) fod yn ei lle wrth brosesu data categori arbennig a data troseddau o dan amodau penodol.

Mae Banc Datblygu Cymru ("BDC", "ni", "ein") yn prosesu data categori arbennig a data troseddau.

Ar gyfer rhai amodau sy'n ymwneud â phrosesu'r mathau hyn o ddata, mae'n ofynnol i ni gael Dogfen Polisi Priodol yn nodi ac yn egluro ein gweithdrefnau a'n polisïau. Mae’r polisi hwn yn ategu Polisïau Diogelu Data a Phreifatrwydd BDC ac yn cydymffurfio â’n rhwymedigaethau o dan Atodlen 1, Rhan 4 o Ddeddf Diogelu Data 2018.

Cwmpas

Mae’r polisi hwn yn berthnasol i Grŵp BDC a’i is-gwmnïau.

Data Penodol a Gwmpesir gan y Ddogfen Hon

Data Categori Arbennig

Mae Banc Datblygu Cymru yn prosesu data categori arbennig fel y’i diffinnir gan Erthygl 9 Rheoliad Diogelu Data Cyffredinol y DU (“GDPR”) , sef data personol sy’n datgelu:

  • Tarddiad hiliol neu ethnig
  • Barn wleidyddol
  • Credoau crefyddol neu athronyddol
  • Aelodaeth undeb llafur
  • Data genetig
  • Data biometrig at ddiben adnabod person naturiol yn unigryw
  • Data yn ymwneud ag iechyd
  • Data sy'n ymwneud â bywyd rhywiol neu gyfeiriadedd rhywiol person naturiol

 

Data personol yn ymwneud â throseddau (Data Troseddau)

Mewn rhai amgylchiadau gallwn hefyd brosesu data troseddau, sy'n cynnwys prosesu data am: droseddau, honiadau o droseddau, achosion cyfreithiol, mesurau diogelwch cysylltiedig â gwybodaeth yn ymwneud ag absenoldeb euogfarnau.

Dibenion ar gyfer Prosesu

Byddwn yn prosesu data categori arbennig at y dibenion a ganlyn:

Recriwtio a chyflogaeth, asesu ceisiadau a gyflwynir i ni, diogelwch, diogeled, a gofynion cyfreithiol, ateb ceisiadau ac ymholiadau, darparu cyngor, monitro cydraddoldeb ac amrywiaeth, diogelu lles economaidd testunau data, a diogelu gwrthrychau data bregus rhag niwed.

Rydym yn dibynnu ar sawl amod Erthygl 9 o GDPR y DU i brosesu data categori arbennig. Nid yw pob un o'r amodau Erthygl 9 hyn yn gofyn am amod Atodlen 1 ychwanegol, ond mae rhai ohonynt yn gwneud hynny. Mae’r amodau y dibynnir arnynt gennym sy’n gofyn am amod Atodlen 1 ychwanegol i brosesu Data Categori Arbennig wedi’u rhestru isod:

  • (b) Cyflogaeth, Nawdd Cymdeithasol ac Amddiffyn Cymdeithasol
  • (g) Amodau Budd Cyhoeddus Sylweddol

 

Cyflogaeth, Nawdd Cymdeithasol, ac Amddiffyn Cymdeithasol

O dan Erthygl 9(2)(b) GDPR y DU, gallwn brosesu data categori arbennig a data troseddau lle bo hynny’n angenrheidiol at ddibenion cyflawni rhwymedigaethau ac arfer hawliau penodol y rheolydd neu wrthrych y data ym maes cyflogaeth. Mae enghreifftiau o hyn yn cynnwys gwirio hawl unigolion i weithio yn y DU, a sicrhau iechyd, diogelwch a lles ein gweithwyr. Mae adran 10(2) DDD yn nodi bod y prosesu yn bodloni’r gofyniad uchod yn Erthygl 9(2)(b) dim ond os yw’n bodloni’r amodau a nodir yn Rhan 1 o Atodlen 1 i’r DDD.

Rydym yn prosesu data categori arbennig at y dibenion canlynol yn Rhan 1 o Atodlen 1. Yn dibynnu ar y cyd-destun, bydd angen y prosesu ar gyfer un neu fwy o'r dibenion a restrir isod:

  • Paragraff 1 (Cyflogaeth, nawdd cymdeithasol ac amddiffyn cymdeithasol)

 

Budd Cyhoeddus Sylweddol

O dan Erthygl 9(2)(g) GDPR y DU, mae’n bosibl y byddwn yn prosesu data categori arbennig lle bo angen am resymau sydd o fudd sylweddol i’r cyhoedd. Rhaid i hyn fod yn gymesur â'r nod a ddilynir, parchu hanfod yr hawl i ddiogelu data a darparu ar gyfer mesurau addas a phenodol i ddiogelu hawliau sylfaenol a buddiannau gwrthrych y data.

Mae adran 10(3) o’r Ddeddf Diogelu Data yn nodi bod y prosesu yn bodloni’r gofyniad uchod yn Erthygl 9(2)(g) dim ond os yw’n bodloni amod (neu ddiben) yn Rhan 2 o Atodlen 1 i’r Ddeddf Diogelu Data. Yn dibynnu ar y cyd-destun, bydd angen y prosesu ar gyfer un neu fwy o'r dibenion a restrir isod:

  • Paragraff 6 (Dibenion Statudol a Llywodraethol)
  • Paragraff 8 (Cyfle cyfartal neu driniaeth gyfartal)
  • Paragraff 9 (Amrywiaeth hiliol ac ethnig ar lefelau uwch sefydliadau)
  • Paragraff 10 (Atal neu ganfod gweithredoedd anghyfreithlon) – dim ond wrth ddatgelu neu baratoi datgeliad o ddata personol i awdurdod cymwys.
  • Paragraff 11 (Amddiffyn y Cyhoedd Rhag Anonestrwydd)
  • Paragraff 12 (Gofynion Rheoliadol yn ymwneud â gweithredoedd anghyfreithlon ac anonestrwydd ayyb.)
  • Paragraff 15 (Amheuon o Ariannu Terfysgaeth a Gwyngalchu Arian)
  • Paragraff 18 (Diogelu plant ac unigolion sydd mewn perygl)
  • Paragraff 19 (Diogelu llesiant economaidd unigolion penodol)

 

Data Troseddau

O dan Erthygl 10 GDPR y DU, gallwn brosesu data personol sy’n ymwneud â throseddau, honiadau o droseddau, achosion cyfreithiol, a mesurau diogelwch cysylltiedig a gymerir pan fydd y prosesu wedi’i awdurdodi o dan gyfraith y DU sy’n darparu ar gyfer mesurau diogelu priodol ar gyfer hawliau a rhyddid gwrthrychau data.

Mae adran 10(5) DDD yn nodi bod y prosesu yn bodloni’r gofyniad uchod yn Erthygl 10 GDPR y DU dim ond os yw’n bodloni amod yn Rhan 1, 2 neu 3 o Atodlen 1 DDD.

Yn ogystal â’r amodau perthnasol yn Rhannau 1 a 2 o Atodlen 1 a nodir uchod, mae amodau prosesu ychwanegol ar gyfer data troseddau a nodir yn Rhan 3 o Atodlen 1, ac rydym yn dibynnu ar y canlynol:

  • Paragraff 29 (Caniatâd)
  • Paragraff 32 (Data Personol yn y Parth Cyhoeddus)
  • Paragraff 33 (Hawliadau Cyfreithiol)
  • Paragraff 36 (Ymestyn Amodau Rhan 2 yn ymwneud â Budd Cyhoeddus Sylweddol)

 

Sut rydym yn cydymffurfio â'r Egwyddorion Diogelu Data

Yn unol â’r egwyddor atebolrwydd, mae Banc Datblygu Cymru yn cadw cofnodion o weithgareddau prosesu o dan Erthygl 30 o GDPR y DU ac adran 61 o Ddeddf Diogelu Data 2018. Rydym yn cynnal asesiadau effaith diogelu data lle bo’n briodol yn unol ag Erthyglau 35 a 36 o GDPR y DU i sicrhau diogelu data yn ôl dyluniad a rhagosodiad.

Mae Banc Datblygu Cymru yn sicrhau cydymffurfiaeth â’r egwyddorion diogelu data a nodir yn Erthygl 5 o GDPR y DU fel a ganlyn:

Egwyddor 1 – Cyfreithlondeb, Tegwch a Thryloywder

Rhaid i brosesu data personol fod yn gyfreithlon, yn deg ac yn dryloyw. Nid yw’n gyfreithlon oni bai ac i’r graddau ei fod yn seiliedig ar gyfraith a naill ai bod gwrthrych y data wedi rhoi ei ganiatâd i’r prosesu, neu fod y prosesu’n bodloni o leiaf un o amodau GDPR neu DDD y DU. Rydym yn darparu gwybodaeth dryloywder clir (hysbysiadau preifatrwydd) i bawb sy’n darparu data personol i ni, gan nodi’r sail gyfreithlon ar gyfer prosesu a darparu’r dibenion ar gyfer prosesu’r gwahanol fathau o ddata personol categori arbennig a data troseddau lle mae’r rhain yn ymwneud ag Atodlen 1 o'r DDD.

Mewn amgylchiadau pan fyddwn yn ceisio caniatâd, rydym yn sicrhau:

  • Bod y caniatâd yn ddiamwys
  • Y rhoddir y caniatâd trwy gyfrwng gweithred gadarnhaol
  • Y cofnodir y caniatâd fel yr amod ar gyfer prosesu

 

Egwyddor 2 - Cyfyngiad Pwrpas

Manylir uchod ar y dibenion yr ydym yn prosesu data categori arbennig a throseddau lle mae angen dogfen polisi priodol. Gallwn brosesu data personol a gesglir at unrhyw un o’r dibenion hyn, ar yr amod bod y prosesu’n angenrheidiol ac yn gymesur â’r diben hwnnw. Os ydym yn rhannu data gyda rheolydd arall, byddwn yn dogfennu eu bod yn prosesu’r data yn gyfreithlon at eu diben. Ni fyddwn yn prosesu data personol at ddibenion sy’n anghydnaws â’r diben gwreiddiol y’i casglwyd ar ei gyfer.

Egwyddor 3 – Minimeiddio Data

Rydym yn casglu data personol sy'n angenrheidiol at y dibenion perthnasol ac yn sicrhau nad yw'n ormodol. Mae'r wybodaeth rydym yn ei phrosesu yn angenrheidiol ar gyfer ein dibenion ac yn gymesur â nhw. Pan fyddwn yn dod yn ymwybodol nad yw data personol a ddarparwyd i ni neu a gafwyd gennym ni yn berthnasol i’n dibenion datganedig, byddwn yn ei ddileu.

Egwyddor 4 – Cywirdeb

Pan fyddwn yn sylweddoli / yn dod yn ymwybodol bod data personol yn anghywir neu wedi dyddio, o ystyried y diben y mae’n cael ei brosesu ar ei gyfer, byddwn yn cymryd pob cam rhesymol i sicrhau bod data’n cael ei ddileu neu ei gywiro heb oedi. Os byddwn yn penderfynu peidio â'i ddileu neu ei gywiro, byddwn yn dogfennu ein penderfyniad.

Egwyddor 5 – Cyfyngiad Storio

Cedwir y wybodaeth rydym yn ei phrosesu am y cyfnodau a nodir yn Atodlenni Cadw BDC a Pholisi Cadw BDC. Lle nad yw cofnod wedi’i restru ar yr Atodlenni Cadw, gellir dod o hyd i fanylion y cyfnod cadw ar y polisi preifatrwydd cysylltiedig.

Egwyddor 6 – Cywirdeb a Chyfrinachedd (Diogelwch)

Mae gwybodaeth electronig yn cael ei phrosesu o fewn ein rhwydwaith diogel neu ei rheoli gan gyflenwyr ar atebion sydd wedi'u hachredu ar gyfer diogelwch. Mae gwybodaeth copi caled yn cael ei phrosesu yn ein hadeiladau diogel. Mae gan ein systemau electronig a storio ffisegol reolaethau mynediad priodol ar waith. Mae’r mesurau i ddiogelu hawliau a buddiannau testunau data yn cynnwys gweithredu polisïau a gweithdrefnau sy’n cynnwys:

  • Polisi Defnydd Derbyniol
  • Polisi Diogelu Data
  • Polisi Diogeledd Gwybodaeth
  • Polisi Diogeledd Corfforol
  • Polisi TCC
  • Polisi Parhad Busnes

 

Egwyddor 7 – Atebolrwydd

Er mwyn cyflawni’r egwyddor atebolrwydd, mae Banc Datblygu Cymru yn cadw cofnodion o weithgareddau prosesu o dan Erthygl 30 o GDPR y DU ac adran 61 o DDD 2018. Rydym yn cynnal asesiadau effaith diogelu data lle bo’n briodol yn unol ag Erthyglau 35 a 36 o GDPR y DU i sicrhau data amddiffyniad trwy ddyluniad a rhagosodiad.

Mae gan BDC Swyddog Diogelu Data penodedig sy’n adrodd yn uniongyrchol i’n lefel reoli uchaf, ac rydym yn adolygu ein mesurau atebolrwydd yn rheolaidd ac yn eu diweddaru neu’n eu diwygio pan fo angen.

Gwybodaeth Bellach

Mae rhagor o wybodaeth am sut rydym yn prosesu data personol, yn ogystal â chysylltiadau allweddol, i’w gweld yn ein Polisi Preifatrwydd a’n Polisi Diogelu Data.

Cyfnod Adolygu

Bydd y ddogfen hon yn cael ei hadolygu a'i diweddaru o bryd i'w gilydd.