Prifysgol Aberystwyth - Polisi Gwarchod Data

1. Pwrpas y Polisi

Pwrpas y polisi hwn yw sicrhau bod y Brifysgol a’i staff a’i myfyrwyr yn cydymffurfio â darpariaethau Deddf Gwarchod Data 1998, ac unrhyw ddeddfwriaeth berthnasol arall mewn awdurdodaethau y mae’r Brifysgol yn gweithredu ynddynt wrth brosesu data personol. Mae’r Brifysgol yn cymryd ei chyfrifoldebau ynglŷn â rheoli gofynion Deddf Gwarchod Data 1998 a deddfwriaeth Gwarchod Data arall o ddifrif, a gall torri’r rheolau fod yn achos disgyblaeth. 

Yn y ddogfen hon fe geir fframwaith polisi ar gyfer cyflawni ac archwilio cydymffurfiaeth effeithiol.

2. Cwmpas / Perthnasedd

Mae’r polisi hwn yn berthnasol i staff, myfyrwyr, asiantwyr y Brifysgol a phroseswyr awdurdodedig data personol sy’n eiddo i’r Brifysgol neu’n cael ei gadw ganddi, waeth ble y cedwir y data ac, o ran data sy’n cael ei brosesu’n awtomatig, berchenogaeth yr offer a ddefnyddir, os yw’r prosesu ar gyfer dibenion y Brifysgol. Mae’r polisi hwn hefyd yn berthnasol i ddata personol sy’n cael ei gadw a’i brosesu gan Undeb Myfyrwyr Prifysgol Aberystwyth.

Y mae ar y Brifysgol angen prosesu data am ei gweithwyr, ei myfyrwyr, ac unigolion eraill: er enghraifft, er mwyn monitro perfformiad, cyflawniadau, a iechyd a diogelwch, ac i recriwtio a thalu staff, trefnu cyrsiau a chyflawni gofynion cyfreithiol (e.e. i gyrff cyllido a’r llywodraeth). Rhaid casglu data o’r fath a’i defnyddio’n deg, ei storio’n ddiogel, a pheidio â’i datgelu’n anghyfreithlon.

Rhaid i’r Brifysgol gydymffurfio â’r wyth egwyddor gwarchod data a amlinellir yn y Ddeddf. Yn unol â’r egwyddorion hynny bydd data personol:

  1. Yn cael ei brosesu yn deg a chyfreithlon
  2. Yn cael ei brosesu i bwrpas penodol
  3. Yn addas, yn berthnasol, ac nid yn ormodol i’w bwrpas
  4. Yn gywir ac yn cael ei ddiweddaru’n gyson
  5. Yn cael ei gadw am y cyfnod sydd ei angen, ac nid am gyfnod hwy na hynny
  6. Yn cael ei brosesu yn unol â hawliau gwrthrych y data
  7. Yn cael ei gadw’n ddiogel
  8. Ddim yn cael ei drosglwyddo i wlad y tu allan i’r Ardal Economaidd Ewropeaidd, oni bai bod gan y wlad honno drefn addas o warchod data.

3. Cyfrifoldeb

3.1  Cyfrifoldebau'r Brifysgol

Y mae’r Brifysgol yn rheolwr data yn unol â Deddf Gwarchod Data 1998 a deddfwriaeth gyfatebol arall mewn awdurdodaethau eraill ac mae’n cydnabod yn llwyr ei chyfrifoldebau ar gyfer sefydlu polisïau a gweithdrefnau er mwyn cydymffurfio â’r gofynion perthnasol.

3.1.1  Pwyllgor y Brifysgol

Grŵp Gweithredol y Brifysgol sy’n gyfrifol yn y pen draw am gymeradwyo a goruchwylio gweithrediad y Polisi hwn.

3.1.2  Swyddog Gwarchod Data'r Brifysgol

Bydd y Brifysgol yn enwebu unigolyn priodol yn Swyddog Gwarchod Data’r Brifysgol; bydd yr unigolyn hwn yn aelod o staff hŷn y Brifysgol a bydd ganddo wybodaeth ddigonol.

Bydd y Brifysgol yn sicrhau bod enw Swyddog Gwarchod Data’r Brifysgol yn hysbys i’r holl staff, myfyrwyr, contractwyr a gwirfoddolwyr a bydd hefyd yn tynnu eu sylw at y Polisi hwn a’r dogfennau cysylltiedig. Y Swyddog Gwarchod Data sy’n gyfrifol am lunio canllawiau a hyrwyddo cydymffurfiaeth â’r polisi hwn.

Mae gan y Swyddog Gwarchod Data fynediad at yr holl ddogfennau sy’n ymwneud â cheisiadau cydymffurfiaeth gyfreithiol yn unol â deddfwriaeth Gwarchod Data a’r Swyddog Gwarchod Data (trwy ymgynghori, lle bydd angen, â’r uwch-swyddogion hŷn perthnasol) fydd yn penderfynu ynglŷn â’r wybodaeth fydd yn cael ei rhyddhau neu ei heithrio.

Y Swyddog Gwarchod Data a Hawlfraint yw’r Swyddog Gwarchod Data enwebedig ar hyn o bryd.              

3.2  Cyfrifoldebau Cyfarwyddwyr Athrofeydd a Phenaethiaid Adrannau Gwasanaeth Canolog 

Mae Cyfarwyddwyr Athrofeydd a Phenaethiaid Gwasanaethau Canolog yn gyfrifol am sicrhau cydymffurfiaeth â’r Ddeddf Gwarchod Data a deddfwriaeth berthnasol arall ac am sicrhau bod gofynion y Polisi hwn yn cael eu bodloni.

Rhaid i Gyfarwyddwyr Athrofeydd a Phenaethiaid Gwasanaethau Canolog sicrhau bod pob aelod staff newydd yn derbyn cyflwyniad rhagarweiniol perthnasol i’r Ddeddf Gwarchod Data a deddfwriaeth berthnasol arall a bod aelodau staff y maent yn gyfrifol amdanynt yn derbyn cyrsiau diweddaru ar gydymffurfio â Gwarchod Data.

Gall Cyfarwyddwyr Athrofeydd a Phenaethiaid Gwasanaethau Canolog ddewis dirprwyo rheoli materion Gwarchod Data i aelod priodol o’r staff hŷn; ni ellir, fodd bynnag, dirprwyo’r cyfrifoldeb.

Bydd y Brifysgol yn cynnal archwiliadau cyfnodol i sicrhau cydymffurfiaeth â’r Polisi hwn a’r ddeddfwriaeth berthnasol ac i sicrhau bod yr hysbysiad i’r Comisiynydd Gwybodaeth yn cael ei gadw’n gyfoes.

3.3  Cyfrifoldebau Staff

3.3.1  Mae’n amod cyflogaeth fod gweithwyr yn cadw at reolau a pholisïau’r Brifysgol. Gallai unrhyw achos lle methir â chadw at y Polisi hwn felly fod yn achos disgyblaeth.

3.3.2  Os bydd staff yn defnyddio gwybodaeth bersonol am fyfyrwyr, aelodau staff eraill, neu unigolion eraill, rhaid iddynt gydymffurfio â gofynion y Polisi hwn.

3.3.3 Rhaid i’r staff sicrhau:

  • bod unrhyw wybodaeth bersonol am bobl eraill sydd yn eu meddiant yn cael ei dal yn ddiogel drwy gydol eu cyflogaeth;
  • nad yw unrhyw wybodaeth bersonol am bobl eraill yn cael ei datgelu ar lafar nac yn ysgrifenedig, trwy ddamwain neu fel arall i drydydd parti anawdurdodedig.
  • nad yw gwybodaeth bersonol yn cael ei defnyddio gan staff am unrhyw reswm arall heblaw busnes cyfreithlon y Brifysgol
  • bod unrhyw wybodaeth y maent yn ei darparu i’r Brifysgol am eu cyflogaeth yn gywir ac wedi ei diweddaru a’u bod yn rhoi gwybod i’r Brifysgol am unrhyw newidiadau, e.e. newid cyfeiriad.

3.3.4  Lle bydd aelodau staff yn gyfrifol am oruchwylio myfyrwyr sy’n cyflawni gwaith sy’n cynnwys prosesu gwybodaeth bersonol (e.e. mewn prosiectau ymchwil), rhaid iddynt sicrhau bod y myfyrwyr hynny yn ymwybodol o’r Egwyddorion Gwarchod Data ac, yn arbennig, o’r angen i sicrhau caniatâd gwrthrych y data lle bo hynny’n briodol.

Dylai staff sy’n ansicr o bwy yw’r trydydd partïon awdurdodedig y gallant ddatgelu data personol iddynt yn gyfreithiol holi am gyngor gan eu rheolwyr llinell neu’r Rheolwr Gwarchod Data a Hawlfraint.

3.4  Contractwyr, Staff Achlysurol a Gwirfoddolwyr

Rhaid i Gyfarwyddwr Athrofeydd a Phenaethiaid Gwasanaethau Canolog sy’n cyflogi contractwyr, staff achlysurol neu wirfoddolwyr sicrhau eu bod yn ymwybodol o’u dyletswyddau yn unol â’r ddeddfwriaeth a gofynion y Polisi hwn.

4. Polisi Manwl

4.1  Ceisiadau Gwrthrych am Ddata

Rhaid i’r Brifysgol ganiatáu i unigolion sy’n dymuno gweld y data personol sydd gan y Brifysgol amdanynt trwy Gais Gwrthrych am Ddata. Dylai unigolion sy’n dymuno gwneud hynny anfon gair ysgrifenedig at y Rheolwr Gwarchod Data a Hawlfraint ac mae’n bosibl y codir tâl am y cais hwn. Mae ffurflen safonol ar gael gan y Rheolwr Gwarchod Data a Hawlfraint (neu ar dudalennau gwe Cydymffurfiaeth Gwybodaeth y Brifysgol).

Nod y Brifysgol yw cydymffurfio â cheisiadau am fynediad at wybodaeth bersonol cyn gynted â phosibl, ond fe fydd yn sicrhau y bydd yn cael ei darparu o fewn i’r terfyn 40 diwrnod a osodir gan y Ddeddf Gwarchod Data (DG) ac o fewn y terfynau amser perthnasol a osodir gan awdurdodaethau eraill.

Ni fydd gan unigolion yr hawl i weld gwybodaeth y mae eithriadau yn perthyn iddi. Fodd bynnag, y darnau penodol o wybodaeth y mae’r eithriad yn berthnasol iddynt yn unig fydd yn cael eu cadw’n ôl, a bydd gwybodaeth y mae eithriad yn perthyn iddi yn cael ei hadolygu gan y Rheolwr Gwarchod Data a Hawlfraint.

Gall y Brifysgol godi ffi briodol a ganiateir yn ôl y ddeddfwriaeth i wneud Cais Gwrthrych am Ddata, ond ceidw’r Brifysgol yr hawl i adolygu’r ffi hon ar unrhyw adeg.

4.2  Caniatau'r proses

Mae’n amod cofrestru myfyrwyr, a chyflogi staff, eu bod yn cytuno bod y sefydliad yn cael prosesu dosbarthiadau penodol o ddata personol, yn cynnwys data sensitif. Mae dosbarthiadau data sensitif yn cynnwys y wybodaeth ganlynol: tarddiad hiliol neu ethnig unigolyn; barn wleidyddol; credoau crefyddol; aelodaeth o undeb llafur; iechyd corfforol neu feddyliol; bywyd rhywiol; euogfarnau neu gyhuddiadau troseddol. Mae’r Brifysgol yn prosesu peth gwybodaeth sydd, yn ôl y diffiniad hwn, yn cael ei ddosbarthu’n sensitif. Mae’n bosibl fod angen y cyfryw wybodaeth i sicrhau diogelwch, i gydymffurfio â gofynion y llywodraeth neu gyrff cyllido, i gynnig cymorth i staff neu fyfyrwyr, neu weithredu polisïau’r sefydliad.

4.3  Casglu a Defnyddio Gwybodaeth:

Gwefan y Brifysgol

Mae’r wybodaeth a gesglir ar wefan Prifysgol Aberystwyth yn eiddo i Brifysgol Aberystwyth (gan gynnwys unrhyw is-gwmnïau). Ni fydd y Brifysgol yn gwerthu, rhannu nac yn rhentu’r wybodaeth yma i eraill mewn ffyrdd sy’n wahanol i’r hyn a nodir ar wefan y Brifysgol neu mewn cytundeb blaenorol.

4.4  Tanseilio Diogelwch Data

Dylid hysbysu’r Rheolwr Gwarchod Data a Hawlfraint cyn gynted â phosibl o unrhyw achos o dorri’r Ddeddf Gwarchod Data neu ddeddfwriaeth gyfatebol arall a gofynion y Polisi hwn.

Ymdrinnir ag achosion o amheuaeth o dorri’r deddf yn unol â Gweithdrefnau’r Brifysgol ar gyfer Amheuaeth o Danseilio Gwarchod Data.

4.5  Marciau Arholiad

Bydd gan fyfyrwyr yr hawl i gael gwybodaeth am eu marciau a’u graddfeydd gwaith cwrs ac arholiadau. Fodd bynnag, gall gymryd mwy o amser i gyflenwi hyn na gwybodaeth arall.

Pan fydd cais mynediad gwrthrych yn cael ei gyflwyno am farciau arholiad, mae’n ofynnol i’r Brifysgol ymateb erbyn y cynharaf o’r canlynol:

  • 40 diwrnod ar ôl cyhoeddi’r canlyniadau NEU
  • bum mis ar ôl derbyn y cais, y ffi a’r holl wybodaeth sydd ei hangen yn rhesymol.

Os nad yw’r myfyriwr wedi talu ffioedd neu gostau neu os nad yw wedi dychwelyd llyfrau neu offer, gall y Brifysgol ddal tystysgrifau, achrediad neu eirda yn ôl.

Oni bai fod myfyrwyr yn cael eu hysbysu ymlaen llaw ac yn cael cyfle i optio allan, ni fyddai cyhoeddi canlyniadau arholiad unigolion ar lein neu mewn mannau cyhoeddus yn y Brifysgol yn dderbyniol yn ôl gofynion y Ddeddf a’r Polisi hwn. Dylid hysbysu myfyrwyr cyn gynted â phosibl yn ystod y flwyddyn academaidd ynglŷn â’r drefn ar gyfer cael mynediad i’w canlyniadau arholiad.

4.6  Rhannu data a thrydydd parti

Bydd rhannu data personol yn cydymffurfio â’r manylion a amlinellir yng nghytundebau staff, y Datganiad Prosesu Data, a’r hysbysiad blynyddol i Swyddfa’r Comisiynydd Gwybodaeth.

Dylai staff, myfyrwyr ac eraill y gall fod data personol amdanynt yn cael ei gadw gan y sefydliad, nodi fod gan y Brifysol ddyletswydd yn unol â Deddf Gwrthderfysgaeth a Diogelwch 2015 i roi sylw dyledus i’r angen i rwystro pobl rhag cael eu denu at derfysgaeth, ac y gall y ddyletswydd hon olygu trosglwyddo gwybodaeth i’r heddlu / gwasanaethau diogelwch.

5. Deddfwriaeth, Codau Ymarfer a Safonau Diwydiant Perthnasol

Deddf Gwarchod Data 1998

Deddf Gwarchod Data (Mawrisiws) 2004

Deddf Gwrthderfysgaeth a Diogelwch 2015

Deddf Rhyddid Gwybodaeth 2000

Deddf Cyfyngiadau 1980

‘Cod Ymarfer Cyflogaeth’ y Comisiynydd Gwybodaeth

6. Polisiau a Gweithdrefnau Perthnasol

Mae polisïau perthnasol y Brifysgol yn cynnwys, ond heb fod wedi eu cyfyngu i’r isod:

Polisi Rheoli Cofnodion

Polisi Rhyddid Gwybodaeth

Polisi Diogelwch Gwybodaeth

Gweithdrefnau ar gyfer Amheuaeth o Danseilio Gwarchod Data

Canllawiau i staff ynglŷn â rhannu gwybodaeth gyfrinachol myfyrwyr