Datganiad a Polisi Diogelu Data

1. Cyflwyniad

Diben y ddogfen hwn yw galluogi Undeb Myfyrwyr Prifysgol Aberystwyth (UMAber) i wneud y canlynol: 

  • Describe the personal data which it processes and the purposes associated with that processing
  • Dangos ei ymrwymiad i drin data personol yn briodol.
  • Cydymffurfio â chyfraith Diogelu Data.
  • Diogelu'r mudiad rhag deilliannau gweithredu'n groes i'w gyfrifoldebau statudol a chyfraith gyffredin.
  • Annog a chefnogi diwylliant o arfer gorau ym maes diogelu data.

Mae UMAber yn sicrhau bod data personol yn cael ei gadw yn unol â Deddf Diogelu Data  ac â'r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR), sy'n dod i rym o fis Mai 2018. Adolygir y polisi hwn yn flynyddol er mwyn sicrhau cydymffurfiaeth.

Mae 'data personol' yn cyfeirio at wybodaeth sy'n dynodi unigolyn byw. Mae UMAber yn cadw data personol at y dibenion canlynol:

  1. Gweinyddiaeth Staff - Penodi neu ddiswyddo, cyflogau, disgyblaeth, pensiwn, rheoli gwaith neu faterion personél eraill.
  2. Hysbysebu, Marchnata a Chysylltiadau Cyhoeddus - Hysbysebu neu farchnata'r busnes, gweithgareddau, nwyddau neu wasanaethau a hyrwyddo cysylltiadau cyhoeddus.
  3. Cyfrifon a Chofnodion - Cadw cyfrifon, penderfynu derbyn person fel cwsmer neu gyflenwr, cadw cofnodion o bryniant, gwerthiant neu drafodion eraill, prosesu archebion a chyfrifon.
  4. Gweinyddu Cofnodion Aelodaeth - manylion aelodau, cefnogwyr, staff a gweithwyr dros-dro ac achlysurol.
  5. Gwasanaethau Ymgynghori a Chynghori - Rhoi cyngor neu ddarparu gwasanaethau proffesiynol (Llais y Myfyriwr).
  6. Gweinyddu Budd-daliadau, Grantiau a Benthyciadau - Gweinyddu lles a budd-daliadau eraill.
  7. Codi arian - codi arian i gynnal amcanion y mudiad.
  8. Rheoli Eiddo - rheoli a gweinyddu tir, eiddo ac ystadau.

Trosglwyddir gwybodaeth o Brifysgol Aberystwyth i Undeb y Myfyrwyr at ddibenion hwyluso:

  1. cadw trefn ar aelodaeth Undeb y Myfyrwyr;
  2. gweinyddu clybiau a chymdeithasau
  3. gweinyddu a monitro cynrychiolaeth deg mewn pleidleisiau ac etholiadau;
  4. darparu gwasanaethau gan Undeb y Myfyrwyr ei hun (gan gynnwys gweinyddu gwerthiant tocynnau);
  5. cadarnhau adnabyddiaeth myfyrwyr;
  6. gwireddu'r amcanion a gyhoeddir gan Undeb y Myfyrwyr;
  7. cyfathrebu drwy'r post ac e-bost rhwng Prifysgol Aberystwyth a'i Undeb Myfyrwyr.

Ni chaiff data personol a ddarperir i Undeb y Myfyrwyr gan y Brifysgol ei drosglwyddo i unrhyw drydydd parti, gan gynnwys y rheini sydd dan gontract ffurfiol fel prosesyddion data (yn cynnwys MSL Cyf), heb ganiatâd penodol y Brifysgol

Fel mudiad nid er elw, nid yw'n ofynnol i UMAber gofrestru gyda Swyddfa'r Comisiynydd Gwybodaeth. Bwriedir i'r dogfen hwn ategu polisïau a gweithdrefnau Prifysgol Aberystwyth sy'n bodoli eisoes.

Mae UMAber yn prosesu gwybodaeth bersonol am ei aelodau yn unol ag egwyddor Diogelu Data a ddisgrifir yn fanwl yn adran 3.

 


2. Diffiniadau

a. Data personol

Data sy'n ymwneud ag unigolyn byw y gellir ei adnabod o'r data, neu o'r data a gwybodaeth arall am yr unigolyn sydd ym meddiant y Rheolwr Data neu sy'n debygol o ddod i'w feddiant. Mae Data Personol yn cynnwys unrhyw fynegiant o farn am yr unigolyn ac unrhyw arwydd o fwriad y Rheolwr Data neu unrhyw berson arall parthed yr unigolyn.

 

b. Data Personol Sensitif (‘Special Categories’ under GDPR)

Data personol sy'n ymwneud â tharddiad hiliol neu ethnig, barn wleidyddol, credoau crefyddol, aelodaeth undeb, iechyd corfforol neu feddyliol (gan gynnwys anableddau), bywyd rhywiol, troseddau a gyflawnwyd, troseddau honedig ac achosion llys cysylltiedig

 

c. Rheolwr Data

Person neu sefydliad sy'n pennu at ba ddibenion y mae unrhyw ddata personol yn cael ei brosesu, neu'n mynd i gael ei brosesu.

 

d. Prosesydd Data

Unrhyw berson (heblaw cyflogai'r rheolwr data) sy'n prosesu'r data ar ran y rheolwr data.

 

e. Testun y Data

Unigolyn byw sy'n destun y Data Personol.

 

f.  Prosesu

Caffael, cofnodi, cadw, trefnu, cyfuno, newid, adfer, ymgynghori, datgelu, lledaenu, dileu neu ddinistrio data, neu ei ddefnyddio mewn unrhyw ffordd arall.

 

g. Trydydd Parti

Unrhyw berson heblaw Testun y Data neu'r Rheolwr Data neu unrhyw Brosesydd Data neu berson arall sydd â'r awdurdod i brosesu data ar ran y Rheolwr Data neu'r Prosesydd Data.

 

h.  Hysbysiad Preifatrwydd

Un o'r meysydd allweddol sy'n cael ei bwysleisio o dan y GDPR yw'r 'hawl i gael eich hysbysu', sy'n cwmpasu'r ddyletswydd a osodir ar sefydliadau i ddarparu 'gwybodaeth deg am brosesu', fel arfer gyda hysbysiadau 'preifatrwydd' neu 'amddiffyn data'.

 

Mae'r GDPR yn disgrifio pa wybodaeth y dylid ei chynnwys mewn hysbysiadau o'r fath.  Bydd rhywfaint o hyn yn gyfarwydd, gan mai dyma'r math o wybodaeth y dylid ei chynnwys yn ddelfrydol mewn hysbysiadau cyfredol o dan y Ddeddf Diogelu Data.  Fodd bynnag, mae rhai categorïau eraill o ddata y mae angen eu cynnwys, a bydd hefyd disgwyl lefel uwch o fanylder.   Am ragor o fanylion, ewch i wefan Swyddfa'r Comisiynydd Gwybodaeth yn: https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/individuals-rights/the-right-to-be-informed/


 

3. Datganiad Ymddygiad o ran yr egwyddorion diogelu data yn Erthygl 5 GDPR 2018

Egwyddor 1 - Wedi'i brosesu'n gyfreithlon, yn deg a thryloyw parthed testun y data ; Rhaid i bob myfyriwr y mae eu data'n cael ei brosesu gan UMAber gael eu hysbysu'n iawn neu fod ganddynt fynediad at wybodaeth glir ynglyn â sut y defnyddir eu data, oni bai bod eithriad wedi'i nodi. Lle mae'n bosib gwneud gwybodaeth bersonol yn anhysbys heb gyfyngu ar fanteision diben y defnydd o'r data, ni ddylai fod modd adnabod unigolion.

Egwyddor 2 - Wedi'i chasglu at ddibenion penodol, eglur a chyfreithlon ac ni chaiff ei phrosesu ymhellach mewn modd sy'n anghydnaws â'r dibenion hynny; Rhaid i staff ymgynghori â Phrif Weithredwr yr Undeb cyn i unrhyw ddata personol gael ei ailddefnyddio at unrhyw ddiben sy'n sylweddol wahanol i'r hyn y casglwyd yr wybodaeth ar ei gyfer. Os yw'r dibenion hyn yn rhai na ellid eu disgwyl yn rhesymol, cyhoeddir bwriadau newydd ar gyfer defnyddio data a cheisir sail gyfreithiol briodol ar gyfer prosesu data yn y modd hwn; os tybir bod angen, gofynnir am ganiatâd gan y myfyrwyr.

Egwyddor 3 - Digonol, perthnasol ac yn gyfyngedig i'r hyn sy'n angenrheidiol ar gyfer y dibenion y maent yn cael eu prosesu ar eu cyfer; Rhaid i'r holl ddata personol fod yn addas at y diben y caiff ei brosesu. Dylid dileu gwybodaeth amherthnasol neu ni ddylid ei chasglu yn y lle cyntaf.

Egwyddor 4 - Cedwir data personol yn gywir a, lle bo angen, yn gyfoes; Dylai rheolwyr sicrhau bod pob cam rhesymol yn cael ei gymryd i sicrhau bod data personol yn gywir, gan ystyried at ba ddibenion y mae'n cael ei brosesu, neu ei fod yn cael ei ddileu neu ei gywiro ar unwaith

Egwyddor 5 - Wedi'i gadw ar ffurf sydd ddim yn caniatáu adnabod testun y data am fwy o amser nag sy'n angenrheidiol at ddibenion prosesu'r data personol; Rhaid cadw a gwaredu pob gwybodaeth yn unol ag Atodlen Cadw Data UMAber. Am unrhyw wybodaeth sydd ddim wedi'i chynnwys ar yr atodlen hon, bydd y staff yn ymgynghori â Phrif Weithredwr yr Undeb. Bydd data sy'n cyrraedd diwedd ei gyfnod cadw yn cael ei ddileu yn ddiogel. Caiff gwybodaeth nad yw bellach yn gyfoes, ond eto mae rhaid ei chadw, ei archifo'n ddiogel.

Egwyddor 6 - Wedi'i brosesu mewn modd sy'n sicrhau diogelwch priodol y data personol, gan gynnwys ei ddiogelu rhag cael ei brosesu heb awdurdod neu'n anghyfreithlon ac yn erbyn cael ei golli, ei ddinistrio neu ei ddifrodi'n ddamweiniol, gan ddefnyddio mesurau technegol neu drefniadol priodol;

Rhaid i reolwyr gadw at bob gweithdrefn ac arweiniad o ran diogelwch data a dylent weithredu pob rhwystr priodol o ran mynediad, gan ystyried ffactorau fel lleoliad, hyd cadw’r data ac amgryptio. Caiff cofnodion sy’n cynnwys data personol eu storio mewn cabinetau ffeilio dan glo, neu ar systemau, rhaglenni a gweinyddwyr â mynediad rheoledig iddynt. Caiff gwybodaeth electronig eu storio ar weinyddwyr mewnol a reolir gan UMAber neu a gedwir yn ddiogel ar weinyddwyr allanol gan bartneriaid sydd ynghlwm wrth gytundebau gwarchod data.

Bydd UMAber hefyd yn cadw at ofynion eraill GDPR o ran:

Hawliau’r gwrthrych data, sy’n cynnwys:

  • Yr hawl i gael eich hysbysu
  • Yr hawl i gael mynediad
  • Yr hawl i gywiro
  • Yr hawl i ddileu
  • Yr hawl i gyfyngu ar brosesu
  • Yr hawl i gludo data
  • Yr hawl i wrthod

Hawliau o ran proffilio a phenderfynu awtomatig

 

Trosglwyddo y tu hwnt i Ardal Economaidd Ewrop

Rhaid i unrhyw aelod staff, sy’n ceisio anfon gwybodaeth bersonol y gellir ei hadnabod, ar unrhyw ffurf, i wledydd y tu hwnt i AEE, drafod hyn â Phrif Weithredwr yr Undeb


4. Cyfrifoldebau Staff

Disgwylir i'r holl staff sy'n prosesu data personol ddeall a chydymffurfio â'r Egwyddor Diogelu Data a nodir. Darperir hyfforddiant priodol, gan gynnwys hyfforddiant ymsefydlu ar gyfer aelodau staff newydd sy'n dechrau yn y swydd, yn ogystal â chyrsiau gloywi blynyddol.

Defnyddir camau disgyblu mewn achosion lle mae unigolyn wedi gweithredu'n groes i'r polisi hwn.


 

5. Cyfrifoldebau Myfyrwyr

Dylai myfyrwyr gynorthwyo UMAber i sicrhau bod eu data personol eu hunain, fel y darparwyd i Undeb y Myfyrwyr, yn gywir ac yn gyfoes. Darperir cyfleoedd rhesymol i wneud hynny.

Efallai y bydd angen i fyfyrwyr sy'n gwirfoddoli gydag UMAber brosesu data personol ar gyfer dibenion gweinyddu gweithgareddau. Os yw myfyrwyr yn defnyddio data personol, rhaid iddynt hysbysu'r rheolwr adran perthnasol sy'n gyfrifol am weithgaredd y myfyriwr, fel bod modd cydymffurfio â gofynion Deddf 1998.


6. Data Personol Sensitif (‘Special Categories’ under GDPR)

Yn y rhan fwyaf o achosion, bydd UMAber yn ymatal rhag prosesu data sy'n ymwneud â gwybodaeth bersonol sensitif.  Mae hyn yn cynnwys manylion sy'n ymwneud ag ethnigrwydd, crefydd, barn wleidyddol, cyflwr iechyd, rhywioldeb a record droseddol yr unigolyn a.y.b. Os na ellir osgoi hyn, e.e. yn achos cofnodion iechyd a diogelwch, bydd mynediad diogel yn cael ei gyfyngu i aelodau penodol o staff yn unig .

Bydd gofyn hefyd i destun data roi caniatâd hysbys i UMAber ddefnyddio eu gwybodaeth sensitif.

 


7. Rhannu Data'n Fewnol

Rhennir data ar draws systemau busnes a rhwng staff UMAber dim ond pan fo hynny'n ofynnol i gyflawni swyddogaethau gwaith. Cyn belled ag y bo'n bosibl, trosglwyddir data yn electronig dros rwydwaith diogel yn unig, ac rydym yn annog yn gryf peidio â throsglwyddo data ar bapur, drwy'r post neu â dyfeisiau electronig annibynnol. Mae UMAber yn defnyddio rhwydwaith y Brifysgol, sy'n system ddiogel â mynediad wedi'i reoli, prosesau wrth gefn a modd o adfer data; hyn i gyd gyda chefnogaeth Tîm Gwasanaethau Gwybodaeth y Brifysgol. Maent hefyd dan rwymedigaeth gytundebol i gadw at y ddeddfwriaeth diogelu data bresennol.



8. Rhannu Data Personol â Phartneriaid

Dim ond ar gais cyfreithlon y rhennir data ag asiantaethau allanol a/neu pan fo hynny'n ofynnol dan y gyfraith, megis yn achos gorchymyn llys.

Nid oes gan UMAber gyfrifoldeb dros reoli data personol a brosesir gan Brifysgol Aberystwyth. Nhw yn unig sy’n gyfrifol am gydymffurfio’u hunain â deddfwriaeth diogelu data.

Mae UMAber yn cadw'r hawl i rannu gwybodaeth gyfyngedig â Phrifysgol Aberystwyth fel sydd angen i weithredu ei fuddiannau cyfreithlon, neu i sicrhau bod gweithdrefnau ac arferion yn cael eu gweithredu'n esmwyth er lles myfyrwyr. Ceir manylion ynglyn â'r wybodaeth benodol a rennir â'r Brifysgol, a'i diben, yn ein cytundeb rhannu a gyhoeddir ar-lein.

Yn ychwanegol at hyn, mae UMAber yn cadw'r hawl i drosglwyddo gwybodaeth angenrheidiol (gan gynnwys data personol) i'r Brifysgol mewn amgylchiadau eithriadol, e.e. er mwyn cynnal a gorfodi gweithdrefnau disgyblu.

Mae trydydd parti 'Memberships Solutions Limited' (MSL) yn darparu system reoli gwybodaeth i storio a rheoli gwybodaeth bersonol ein myfyrwyr. Mae MSL ynghlwm wrth gontract sy'n datgan na chaiff gwybodaeth bersonol ei haddasu, ei dileu na'i rhannu, heb gyfarwyddiadau gan UMAber, neu ei defnyddio at unrhyw ddiben heblaw'r hyn a bennir gan UMAber. Mae ganddynt hefyd ddyletswydd, fel rhan o'r contract, i gydymffurfio â'r Ddeddf Diogelu Data.

 


9. Rhannu Data â'r Heddlu neu Drydydd Parti cyffelyb

Yn achos ceisiadau am wybodaeth bersonol gan yr Heddlu, neu drydydd parti tebyg, at ddibenion atal neu ganfod trosedd neu ar gyfer trethiant, a lle nad yw'n briodol i'r sawl sy'n gwneud y cais i ofyn am yr wybodaeth honno gan yr unigolyn / unigolion dan sylw, efallai yr ystyrir ei bod yn angenrheidiol rhyddhau data personol i'r trydydd parti. Mae deddfwriaeth diogelu data yn caniatáu hyn at ddibenion:

  • Atal neu ganfod trosedd;
  • Dal neu erlyn troseddwr; neu
  • Asesu neu gasglu unrhyw dreth neu dollau.

Oni cheir gorchymyn llys, bydd y penderfyniad ynglyn â rhyddhau data personol yn perthyn i UMAber. Rhaid gwneud unrhyw gais gan ddefnyddio ffurflen ddiogelu data swyddogol i’w darparu gan yr heddlu .

Y Brifysgol sy'n rheoli Teledu Cylch Cyfyng (CCTV) o fewn yr adeilad. Gweler eu polisïau ynglyn â Theledu Cylch Cyfyng am ragor o wybodaeth.


 

10. Marchnata a Chyfathrebu

Mae'r Brifysgol yn rhannu manylion personol sy'n ymwneud â phob myfyriwr ag Undeb y Myfyrwyr i sicrhau bod myfyrwyr yn gallu pleidleisio a chael mynediad at wasanaethau Undeb y Myfyrwyr.  Mae hyn yn galluogi'r Brifysgol i gyflawni ei dyletswydd i gefnogi gweithrediad Undeb y Myfyrwyr.  Caiff trosglwyddo gwybodaeth rhwng PA ac Undeb y Myfyrwyr ei nodi’n benodol yn Natganiad Diogelu Data’r Brifysgol. Caiff pob myfyriwr eu cyfeirio ato wrth gofrestru.

 

Oni bai bod myfyrwyr wedi optio allan, yn achlysurol yn ystod eu hamser yn y Brifysgol, bydd UMAber yn cyfathrebu â myfyrwyr drwy e-bost. Prif ddiben hyn fydd cyfathrebu gwasanaethau a ddarperir yn benodol gan UMAber, yn unol ag aelodaeth y myfyrwyr. Os yw myfyrwyr am gael eu tynnu oddi ar restr ohebu, gallant optio allan o'r math hwnnw o gyfathrebu gan ddefnyddio'r ddolen dad-danysgrifio a ddarperir yn yr e-bost. Fel arall, gall myfyrwyr weld a golygu eu dewisiadau ar gyfer cysylltu drwy e-bostio undeb@aber.ac.uk

 


11. Hawliau Testun Data

Os hoffai unigolyn weld neu gael copi o'r data personol y mae UMAber yn ei gadw arnynt, dylent gyflwyno cais am fynediad at wybodaeth am y testun at undeb@aber.ac.uk neu ddefnyddio manylion cyswllt UMAber a ddarperir isod. Bydd UMAber yn ymateb o fewn 1 mis i'r cais hwn. Os yw'n amlwg bod ceisiadau'n gwbl ddi-sail neu'n ormodol, mae gan UMAber yr hawl i wrthod y cais. Dylech nodi, yn wahanol i'r Brifysgol, nid yw UMAber ynghlwm â gofynion y Ddeddf Rhyddid Gwybodaeth. Os ydych chi'n anfodlon â sut y caiff eich ceisiadau eu trin, mae croeso i chi ddefnyddio'r ffurflen gwyno ar-lein.

Weithiau bydd UMAber yn prosesu gwybodaeth bersonol i wella cynigion a gwasanaethau er mwyn cyfoethogi profiad myfyrwyr. Gall hyn gynnwys proffilio neu wneud penderfyniadau awtomatig yn seiliedig ar wybodaeth am fyfyrwyr (e.e. os ydynt yn aelod o glwb UMAber) neu wybodaeth a basiwyd ymlaen gan y Brifysgol (e.e. yr adran y mae'r myfyriwr yn perthyn iddi). Os hoffech wrthwynebu i'ch gwybodaeth bersonol gael ei phrosesu i wella cynigion a gwasanaethau UMAber, gallwch gysylltu â ni drwy ddefnyddio'r manylion cyswllt ar wefan UMAber: umaber.co.uk. Efallai y bydd sail gyfreithiol ar gyfer parhau i brosesu eich data fel hyn, ond mae gennych hawl i esboniad o'r prosesu a'r cyfle i'w herio.

Os ydych chi am i unrhyw wybodaeth bersonol a gedwir gan UMAber gael ei hatal, ei dileu neu ei dinistrio, dylech gysylltu â ni ar: undeb@aber.ac.uk

Mewn rhai achosion (e.e. cofnodion sy'n ymwneud ag ymchwiliad troseddol) gall fod rhesymau dilys cyfreithlon dros ganiatáu i UMAber gadw eich gwybodaeth bersonol. Gynted y bydd dibenion cyfreithlon bellach yn annilys, bydd UMAber yn gwneud pob ymdrech i anrhydeddu'ch ceisiadau.

Cyfrifoldeb staff UMAber yw cymryd camau rhesymol i sicrhau bod data personol myfyrwyr yn gywir ac yn gyfoes, a byddant yn darparu cyfleoedd i ddiweddaru gwybodaeth os oes angen. Fodd bynnag, os credwch fod UMAber yn dal gwybodaeth bersonol anghywir neu sydd bellach ddim yn gyfoes, mae gennych yr hawl i wneud cais i gael eich data wedi'i gywiro. Os oes angen, mae'n bosib y bydd UMAber yn mynd ati i wirio'ch ceisiadau cyn diweddaru eu cofnodion.

 


12. Colli Data

Yn ôl deddfwriaeth diogelu data, mae angen diogelu data personol yn briodol, gan gynnwys amddiffyn rhag prosesu anghyfreithlon ac yn erbyn cael ei golli neu ei ddifrodi'n ddamweiniol. Er mwyn sicrhau hyn, mae gwybodaeth electronig yn cael ei storio ar weinyddwyr mewnol sy'n cael eu rheoli gan UMAber neu eu cynnal yn ddiogel ar weinyddwyr allanol gan bartneriaid sydd ynghlwm gan gontractau diogelu data. Os caiff cyfrinachedd data ei dorri mewn unrhyw ffordd, er nad yw’n debygol o ddigwydd, mae’r staff wedi cael eu hyfforddi i hysbysu’r Prif Weithredwr a fydd yn gweithredu fel y bydd angen.


13. Sail gyfreithiol

Rhaid i UMAber ddatgan o dan ba sail gyfreithiol y caiff data personol ei brosesu. Gan amlaf, mae angen gwneud hyn at ddibenion buddiannau cyfreithiol UMAber. O ran data’r staff, mae’n bosibl y bydd angen prosesu at ddibenion perfformiad y cytundeb cyflogaeth. Caiff data ei brosesu at ddibenion iechyd a diogelwch oherwydd y rhwymedigaeth gyfreithiol y mae UMAber ynghlwm wrthi. Mewn nifer fach o achosion penodol, mae prosesu’n dibynnu ar ddarparu cydsyniad eglur a gwybodus, a gaiff ei gofnodi.


14. Manylion Cyswllt

Mae'r ddogfen hon ar gael mewn print bras ar gais. Os oes angen fformat amgen arall arnoch, cysylltwch â ni i drafod eich gofynion.

Manylion Cyswllt:

Undeb Myfyrwyr Prifysgol Aberystwyth

Campws Penglais

Aberystwyth

SY23 3DX

Ffôn: 01970 621700

E-bost: undeb@aber.ac.uk