Papur polisi

Dogfen Bolisi Briodol: Data Personol Categori Arbennig a Data Troseddau

Diweddarwyd 27 Mawrth 2025

© Hawlfraint y Goron 2025

Mae'r cyhoeddiad hwn wedi'i drwyddedu o dan delerau Trwydded Agored y Llywodraeth v3.0 ac eithrio ble nodir yn wahanol. I weld y drwydded hon, ewch i nationalarchives.gov.uk/doc/open-government-licence/version/3 neu ysgrifennwch at y Tîm Polisi Gwybodaeth, Yr Archifau Gwladol, Kew, Llundain TW9 4DU, neu anfonwch e-bost at: psi@nationalarchives.gov.uk.

Lle byddwn wedi nodi unrhyw wybodaeth am hawlfraint trydydd parti, bydd angen i chi gael caniatâd gan ddeiliaid yr hawlfraint dan sylw.

Mae'r cyhoeddiad hwn ar gael yn https://www.gov.uk/government/publications/rural-payments-agency-data-protection-policy/dogfen-bolisi-briodol-data-personol-categori-arbennig-a-data-troseddau

1. Crynodeb o’r polisi

Bydd Yr Asiantaeth Taliadau Gwledig yn cydymffurfio â gofynion Rheoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data (GDPR y DU), Deddf Diogelu Data 2018 ac unrhyw ddeddfwriaeth gysylltiedig wrth brosesu data personol.

Mae’r Ddogfen Bolisi Briodol hon yn nodi’r mesurau diogelwch rydym wedi’u rhoi ar waith ar gyfer prosesu data categori arbennig a data troseddau. Fe’i datblygwyd er mwyn i ni fodloni’r gofynion ar gyfer Dogfen Bolisi Briodol o dan Ddeddf Diogelu Data 2018 (Atodlen 1 Adran 4). Mae’r mesurau diogelwch yn cyd-fynd â gofynion GDPR y DU (Erthyglau 9 a 10) a Deddf Diogelu Data 2018 (Atodlen 1).

Caiff ein gweithgarwch prosesu data categori arbennig a data troseddau at ddibenion gorfodi’r gyfraith ei gynnal gennym yn rhinwedd ein rôl fel awdurdod cymwys o dan Ddeddf Diogelu Data 2018 (Rhan 3). Ceir rhagor o wybodaeth yn y ddogfen bolisi briodol ar gyfer prosesu sensitif at ddibenion gorfodi’r gyfraith.

Ceir rhagor o wybodaeth am ein polisi a gweithdrefnau diogelu data, gan gynnwys y math o ddata a ddelir gennym ac at ba ddibenion y’u defnyddir, yn ein hysbysiadau preifatrwydd a’n Siarter Gwybodaeth Bersonol.

2. Data categori arbennig

Diffinnir data categori arbennig gan GDPR y DU (Erthygl 9) fel data personol sy’n datgelu’r manylion canlynol am destun data:

  • hil neu darddiad ethnig
  • barn wleidyddol
  • credoau gwleidyddol neu athronyddol
  • aelodaeth o undeb llafur
  • data genetig
  • dulliau adnabod biometrig
  • iechyd
  • bywyd rhywiol, cyfeiriadedd rhywiol, neu’r ddau

3. Data troseddau

Mae GDPR y DU (Erthygl 10) yn ymdrin â phrosesu euogfarnau troseddol a throseddau, neu fesurau diogelwch cysylltiedig. Mae Deddf Diogelu Data 2018 (Adran 11(2)) yn darparu bod data troseddau yn cynnwys gwybodaeth am y canlynol:

  • troseddau yr honnir iddynt gael eu cyflawni
  • achosion cysylltiedig
  • dedfrydu 

4. Amodau ar gyfer prosesu data categori arbennig a data troseddau

Rydym yn prosesu categorïau arbennig o ddata personol o dan Erthyglau canlynol GDPR y DU.

4.1 Erthygl 9(2)(a) – cydsyniad penodol

Pan fo angen i ni gael cydsyniad, rydym yn gwneud yn siŵr bod y cydsyniad:

  • yn ddiamwys
  • at un neu fwy o ddibenion
  • yn benodol
  • yn cael ei roi drwy weithred gadarnhaol
  • yn cael ei gofnodi a’i ddiweddaru, megis wrth ofyn i gwsmeriaid ddarparu data iechyd er mwyn asesu effaith ein gweithrediadau ar iechyd

4.2 Erthygl 9(2)(b) – diogelu cyflogaeth neu ddiogelu cymdeithasol

Pan fo prosesu data yn ofynnol o dan y gyfraith at ddibenion diogelu cyflogaeth, diogelu nawdd cymdeithasol neu ddiogelu cymdeithasol, naill ai ar ein cyfer ni neu destun y data. Er enghraifft, prosesu absenoldeb staff oherwydd salwch a chofrestr o ddatganiadau o fuddiant.

4.3 Erthygl 9(2)(c) – buddiannau allweddol

Pan fo prosesu data yn angenrheidiol er mwyn diogelu buddiannau allweddol testun y data neu fod dynol arall, megis sut y byddai ein gwaith prosesu yn defnyddio data iechyd cyflogai mewn argyfwng meddygol.

4.4 Erthygl 9(2)(f) – hawliadau cyfreithiol

Ar gyfer profi, arfer neu amddiffyn hawliadau cyfreithiol, megis gwaith prosesu data sy’n ymwneud ag unrhyw dribiwnlys cyflogaeth neu achos arall o ymgyfreitha.

4.5 Erthygl 9(2)(g) – budd cyhoeddus sylweddol

Rydym yn prosesu data categori arbennig fel rhan o’n swyddogaethau statudol a chorfforaethol sydd â budd cyhoeddus sylweddol. Megis y data rydym yn eu ceisio neu’n eu cael fel rhan o’r broses o ymchwilio i gŵyn.

Rhesymau o fudd cyhoeddus sylweddol, er enghraifft, lle rydym yn gyfrifol am roi polisïau Defra ar waith i wella a diogelu’r amgylchedd.

4.6 Erthygl 9(2)(j) – archifo, ymchwil ac ystadegau

Ar gyfer archifo, ymchwil ac ystadegau er budd y cyhoedd gydag Atodlen 1 Rhan 1 Paragraff 4, megis y data rydym yn eu trosglwyddo i’r Archifau Cenedlaethol neu leoedd adneuo cyfreithiol eraill fel rhan o’n rhwymedigaeth o dan Ddeddf Cofnodion Cyhoeddus 1958.

4.7 Erthygl 10 – prosesu data personol sy’n ymwneud ag euogfarnau troseddol a throseddau

Rydym yn prosesu data troseddau o dan GDPR y DU (Erthygl 10) am ein bod yn awdurdod arfer swyddogol, fel y’i nodir yn Neddf Diogelu Data 2018 (Adran 8). Y math o ddata a brosesir o dan yr erthygl hon yw gwiriadau cyn cyflogi a datganiadau gan gyflogai neu brentis yn unol â rhwymedigaethau cytundebol.

5. Amodau ar gyfer prosesu (Atodlen 1)

Mae’r holl waith prosesu at y diben cyntaf a restrir a gallai fod at ddibenion eraill, yn dibynnu ar y cyd-destun. Rydym yn prosesu data categori arbennig at y dibenion canlynol yn Rhan 1 o Atodlen 1:

  • paragraff 1 – cyflogaeth, nawdd cymdeithasol a diogelu cymdeithasol
  • paragraff 4 – ymchwil, gwaith archifo a dibenion gwyddonol, hanesyddol neu ystadegol a gyflawnir yn unol ag Erthygl 89(1) ac sydd er budd y cyhoedd

Rydym yn prosesu data categori arbennig at y dibenion canlynol yn Rhan 2 o Atodlen 1:

  • paragraff 6 – dibenion statudol a dibenion y llywodraeth
  • paragraff 7 – gweinyddu cyfiawnder a dibenion seneddol
  • paragraff 8 – cyfle cyfartal neu driniaeth gyfartal
  • paragraff 10 – atal neu ganfod gweithredoedd anghyfreithlon
  • paragraff 12 – gofynion rheoleiddiol sy’n ymwneud â gweithredoedd anghyfreithlon ac anonestrwydd
  • paragraff 24 – datgelu i gynrychiolwyr etholedig

5.1 Dibenion prosesu data troseddau

Rydym yn prosesu data troseddau at y dibenion canlynol yn Rhannau 1 a 2 o Atodlen 1:

  • paragraff 1 – cyflogaeth, nawdd cymdeithasol a diogelu cymdeithasol
  • paragraff 6 – dibenion statudol a dibenion y llywodraeth

6. Egwyddorion diogelu data

Rydym yn cydymffurfio ag egwyddorion prosesu data personol o dan GDPR y DU (Erthygl 5) fel y’u disgrifir isod.

6.1 Egwyddor 1 – 5(a) – cyfreithlondeb, tegwch a thryloywder

Er mwyn sicrhau y caiff data personol eu prosesu’n gyfreithlon, yn deg ac yn dryloyw, byddwn yn prosesu data personol:

  • pan fo sail gyfreithlon dros wneud hynny, a phan fo prosesu fel arall yn gyfreithlon
  • yn deg, gan sicrhau na chaiff testunau data eu camarwain ynglŷn â dibenion unrhyw waith prosesu

6.2 Egwyddor 2 – 5(b) – cyfyngu ar ddibenion

Byddwn ond yn casglu data at ddibenion penodedig, penodol a chyfreithlon ac ni fyddwn yn eu prosesu mewn ffordd nad yw’n cyd-fynd â’r dibenion y’u casglwyd ar eu cyfer. Byddwn yn rhoi gwybod i destunau data:

  • beth yw’r dibenion casglu mewn hysbysiad preifatrwydd
  • os byddwn yn defnyddio data personol at ddiben newydd sy’n cyd-fynd â hysbysiad preifatrwydd newydd neu wedi’i ddiweddaru

6.3 Egwyddor 3 – 5(c) – lleihau data

Bydd data personol yn ddigonol, yn berthnasol ac wedi’u cyfyngu i’r hyn sy’n angenrheidiol at y dibenion y mae angen y data ar eu cyfer.

  • Byddwn ond yn casglu’r data personol sylfaenol
  • Byddwn yn sicrhau bod data a gesglir yn ddigonol ac yn berthnasol

6.4 Egwyddor 4 – 5(d) – cywirdeb

Bydd data personol yn gywir a, lle y bo angen, bydd yn cael eu diweddaru.

  • Byddwn yn arbennig o ofalus pan fydd ein defnydd o ddata personol yn cael effaith sylweddol ar unigolion
  • Byddwn yn gwneud yn siŵr bod data personol yn cael eu dileu neu eu cywiro yn ddi-oed os byddwn yn dod yn ymwybodol eu bod yn anghywir neu nad ydynt yn gyfredol mwyach
  • Byddwn yn dogfennu ein penderfyniad os na fyddwn yn dileu nac yn cywiro gwybodaeth anghywir, er enghraifft, pan fydd prosesu’r data yn unol â rheoliadau yn golygu nad yw’r hawliau hyn yn gymwys

6.5 Egwyddor 5 – 5(e) – cyfyngu ar storio data

Ni fyddwn yn cadw data personol sy’n nodi pwy yw testunau data am fwy o amser nag sydd angen.

  • Byddwn ond yn cadw data personol ar ffurf a all ddatgelu enw testun data at y dibenion y’u casglwyd ar eu cyfer, neu os bydd gennym ddyletswydd gyfreithiol i wneud hynny
  • Byddwn yn dileu data personol, yn sicrhau na ellir eu defnyddio neu’n eu hanonymeiddio’n barhaol pan na fydd eu hangen arnom mwyach

6.6 Egwyddor 6 – 5(f) – cywirdeb, cyfrinachedd (a diogelwch)

Byddwn yn prosesu ac yn storio data personol yn ddiogel, gan eu diogelu rhag cael eu prosesu heb awdurdod neu’n anghyfreithlon, a rhag cael eu colli, eu dinistrio neu eu difrodi’n ddamweiniol. Byddwn yn gwneud y canlynol:

  • sicrhau bod mesurau sefydliadol a thechnegol priodol ar waith i ddiogelu data personol
  • cadw at safonau a gweithdrefnau diogelwch llym Defra
  • darparu hyfforddiant yn rheolaidd i gyflogeion, a thrydydd partïon sy’n prosesu data personol ar ein rhan, ar sut i gadw data yn ddiogel
  • cyfyngu mynediad at ddata personol i’r cyflogeion neu drydydd partïon hynny sydd â busnes neu angen cyfreithiol i’w gweld

7. Egwyddor atebolrwydd

Rydym wedi rhoi mesurau technegol a sefydliadol priodol ar waith er mwyn bodloni gofynion atebolrwydd. Mae’r rhain yn cynnwys y canlynol:

  • sefydlu Model Llywodraethu Gwybodaeth a reolir gan yr Ymarferydd Diogelu Data sy’n atebol i Berchennog Risgiau Diogelwch yr Asiantaeth Taliadau Gwledig a Swyddog Diogelu Data Defra
  • mabwysiadu dull ‘diogelu data drwy ddylunio ac yn ddiofyn’ o gynnal ein holl weithgareddau diogelu data
  • cadw dogfennau o’n gweithgareddau prosesu
  • mabwysiadu polisïau diogelu data a’u rhoi ar waith a sicrhau bod gennym gontractau ysgrifenedig â’n proseswyr data
  • rhoi mesurau diogelwch priodol sy’n ymwneud â’r data personol rydym yn eu prosesu ar waith
  • cynnal asesiadau o’r effaith ar ddiogelu data ar gyfer ein gweithgareddau prosesu risg uchel
  • adolygu ein mesurau atebolrwydd yn rheolaidd a’u diweddaru neu eu diwygio pan fo angen

8. Atal a dileu

Mae gennym fesurau diogelwch llym ar waith i ddiogelu data categori arbennig a data troseddau. Mae mesurau diogelwch gweinyddol, ffisegol a thechnegol yn diogelu data personol rhag y canlynol:

  • prosesu data yn anghyfreithlon
  • prosesu data heb awdurdod
  • colli neu ddifrodi data yn ddamweiniol

Byddwn yn sicrhau, pan gaiff data categori arbennig neu ddata troseddau eu prosesu, fod y gwaith prosesu yn cael ei gofnodi. Bydd y cofnod yn nodi, lle y bo’n bosibl, amserlen addas i ddileu y categorïau gwahanol o ddata yn ddiogel ac yn barhaol yn unol â’n cofrestr cadw cofnodion.

9. Cyhoeddi, adolygu a monitro

Dyddiad cyhoeddi: Ebrill 2024

Fersiwn: 2.0

Awdur: Diogelu a Llywodraethu Data

Cyfnod adolygu: Bob 2 flynedd

Disgwylir i’r Ddogfen Bolisi Briodol hon gael ei hadolygu yn ystod mis Ebrill 2026 oni fydd datblygiadau sylweddol yn naill ai’r Asiantaeth Taliadau Gwledig neu’r gyfraith yn golygu bod yn rhaid cynnal yr adolygiad cyn hynny. Caiff y Ddogfen Bolisi Briodol hon ei storio lle rydym yn prosesu data personol a’i chadw am gyfnod o chwe mis o leiaf ar ôl i’r fath waith prosesu ddod i ben.

Caiff cydymffurfiaeth â’r polisi ei monitro gan yr Ymarferydd Diogelu Data a’r Perchennog Risgiau Diogelwch a fydd yn adrodd i’r Tîm Gweithredol a’r Pwyllgor Archwilio a Sicrwydd Risg yn ôl y gofyn.

10. Deunydd darllen pellach a argymhellir

Darllenwch y polisi hwn ynghyd â’r dogfennau canlynol:

  • Polisi Diogelu Data yr Asiantaeth Taliadau Gwledig
  • Dogfen Bolisi Briodol: Prosesu Sensitif at Ddibenion Gorfodi’r Gyfraith

Mae’r dogfennau hyn ar gael ar dudalen y Polisi Diogelu Data. Efallai y bydd gennych ddiddordeb hefyd yn Siarter Gwybodaeth Bersonol yr Asiantaeth Taliadau Gwledig.

 

Back to top