Papur polisi

Dogfen Bolisi Briodol: Prosesu Sensitif at Ddibenion Gorfodi'r Gyfraith

Diweddarwyd 27 Mawrth 2025

1. Crynodeb o’r polisi

Mae’r Asiantaeth Taliadau Gwledig yn prosesu data personol at ddibenion gorfodi’r gyfraith am y canlynol:

• unigolion sydd wedi cyflawni troseddau
• unigolion yr amheuir eu bod wedi cyflawni troseddau
• unigolion eraill sy’n gysylltiedig â throseddau

Mae’r Asiantaeth Taliadau Gwledig yn gweithredu fel rheoleiddiwr amgylcheddol o dan wahanol bwerau cyfreithiol a swyddogaethau statudol. Mae’r Asiantaeth Taliadau Gwledig yn awdurdod cymwys o dan Ddeddf Diogelu Data 2018 (Rhan 3 Adran 30(1)(a)).

Mae’r Ddogfen Bolisi Briodol hon yn amlinellu ein gwaith prosesu data personol sensitif at ddibenion gorfodi’r gyfraith. Fe’i datblygwyd er mwyn i ni fodloni’r gofyniad i lunio Dogfen Bolisi Briodol o dan Ddeddf Diogelu Data 2018 (Rhan 3 Adran 42).

Mae’r ddogfen yn esbonio’r canlynol:

• egwyddorion diogelu data gorfodi’r gyfraith a sut rydym yn cydymffurfio â nhw
• ein prif arferion cadw a dileu data personol

Mae’r Ddogfen Bolisi Briodol ar gyfer prosesu categorïau arbennig o ddata personol a data troseddau yn gymwys pan nad gorfodi’r gyfraith yw prif ddiben ein gweithgarwch prosesu data.

Ceir rhagor o wybodaeth am ein Model Llywodraethu Gwybodaeth ym Mholisi Diogelu Data a Siarter Gwybodaeth Bersonol yr Asiantaeth Taliadau Gwledig.

2. Dibenion gorfodi’r gyfraith

Nodir dibenion gorfodi’r gyfraith yn Neddf Diogelu Data 2018 (Adran 31) ac maent yn cynnwys:

• atal troseddau, ymchwilio iddynt, eu canfod neu eu herlyn
• rhoi cosbau troseddol, a allai gynnwys diogelu rhag bygythiadau i ddiogelwch y cyhoedd a’u hatal

Diffinnir prosesu sensitif yn Neddf Diogelu Data 2018 (Rhan 3 Adran 35(8)) ac mae’n cyfateb i Reoliad Cyffredinol y DU ar Ddiogelu Data (GDPR y DU) (Erthygl 9) Data Categori Arbennig. Mae hyn yn cynnwys data personol sy’n ymwneud â’r canlynol:

• hil neu darddiad ethnig
• barn wleidyddol
• credoau gwleidyddol neu athronyddol
• aelodaeth o undeb llafur
• data genetig
• dulliau adnabod biometrig
• iechyd
• bywyd rhywiol, cyfeiriadedd rhywiol, neu’r ddau

3. Disgrifiad o ddata a brosesir

Rydym yn gwneud gwaith prosesu sensitif at ddibenion gorfodi’r gyfraith mewn dau brif faes, sef:

• ymchwiliadau troseddol
• adennill arian

4. Amodau ar gyfer prosesu

Dim ond gyda chydsyniad testun y data neu pan fo’n gwbl angenrheidiol at ddibenion gorfodi’r gyfraith a’i fod yn bodloni un o’r amodau yn Neddf Diogelu Data 2018 (Atodlen 8) rydym yn gwneud gwaith prosesu sensitif o dan Ddeddf Diogelu Data (Adran 35(3)).

Mae’r holl waith prosesu at y diben cyntaf a restrir a gallai fod at ddibenion eraill, yn dibynnu ar y cyd-destun.

• paragraff 1 – dibenion statudol, er enghraifft prosesu data pan fo’n angenrheidiol ar gyfer tasg a bennwyd yn gyfreithiol a’i fod er budd cyhoeddus sylweddol
• paragraff 2 – gweinyddu cyfiawnder
• paragraff 6 – hawliadau cyfreithiol
• paragraff 9 – archifo megis at ddibenion gwyddonol, hanesyddol neu ystadegol 

5. Egwyddorion diogelu data gorfodi’r gyfraith

Rydym yn cydymffurfio ag egwyddorion diogelu data gorfodi’r gyfraith o dan Ddeddf Diogelu Data 2018 (Rhan 3 Pennod 2). Nodir yr egwyddorion isod.

5.1 Egwyddor 1 – Adran 35 – cyfreithlondeb a thegwch

Rhaid i waith prosesu at ddibenion gorfodi’r gyfraith fod yn gyfreithlon ac yn deg. Mae hyn yn golygu bod yn rhaid i waith prosesu data personol:

• fod yn seiliedig ar gydsyniad testun y data (Adran 35(2)), neu
• gael ei wneud gennym pan fo’n angenrheidiol ar gyfer cyflawni tasg

Os bydd y gwaith prosesu yn cynnwys data personol sensitif, dim ond:

• os yw’n seiliedig ar gydsyniad testun y data (Adran 35(4)), neu
• os yw’n gwbl angenrheidiol at ddibenion gorfodi’r gyfraith o dan adran 35(5) a’i fod yn seiliedig ar un o’r amodau yn Atodlen 8
• os yw’n angenrheidiol am resymau sy’n ymwneud â budd cyhoeddus sylweddol, y caniateir hyn

Fel arfer, mae ein gwaith prosesu data sensitif at ddibenion gorfodi’r gyfraith yn bodloni’r amod ym Mharagraff 1 o Atodlen 8.

O dan amgylchiadau lle mae angen i ni gael cydsyniad, rydym yn gwneud yn siŵr bod y cydsyniad:

• yn ddiamwys
• yn cael ei roi drwy weithred gadarnhaol
• yn cael ei gofnodi fel yr amod ar gyfer prosesu

5.2 Egwyddor 2 – Adran 36 – cyfyngu ar ddibenion

Bydd data personol yn ddigonol, yn berthnasol ac wedi’u cyfyngu i’r hyn sy’n angenrheidiol at ddibenion gorfodi’r gyfraith y mae eu hangen ar eu cyfer. Byddwn ond:

• yn casglu’r data personol sylfaenol, er enghraifft, at ddibenion atal troseddau, ymchwilio iddynt, eu canfod neu eu herlyn, neu osod cosbau troseddol
• yn prosesu data sensitif at ddibenion gorfodi’r gyfraith pan fyddwn wedi’n hawdurdodi o dan y gyfraith i wneud hynny
• yn prosesu data personol sy’n angenrheidiol ac yn gymesur at y diben hwnnw
• yn defnyddio data personol at ddibenion heblaw gorfodi’r gyfraith pan fyddwn wedi’n hawdurdodi o dan y gyfraith i wneud hynny

Os byddwn yn rhannu data â rheolydd data arall, byddwn yn dogfennu ei fod wedi’i awdurdodi o dan y gyfraith i brosesu’r data at ei ddiben.

5.3 Egwyddor 3 – Adran 37 – lleihau data

Bydd data personol yn ddigonol, yn berthnasol ac wedi’u cyfyngu i’r hyn sy’n angenrheidiol at ddibenion gorfodi’r gyfraith y mae eu hangen ar eu cyfer.

• Ni fyddwn yn defnyddio systemau awtomataidd i gasglu na phrosesu data personol sensitif
• Byddwn ond yn casglu’r data personol sylfaenol
• Byddwn yn dileu data personol sensitif lle y gallwn, pan na fydd data a ddarperir i ni neu y byddwn yn eu cael yn berthnasol i’n dibenion datganedig

5.4 Egwyddor 4 – Adran 38 – cywirdeb

Bydd data personol yn gywir a, lle y bo angen, bydd yn cael eu diweddaru.

• Byddwn yn arbennig o ofalus pan fydd ein defnydd o ddata personol yn cael effaith sylweddol ar unigolion
• Byddwn yn gwneud yn siŵr bod data personol yn cael eu dileu neu eu cywiro yn ddi-oed os byddwn yn dod yn ymwybodol eu bod yn anghywir neu nad ydynt yn gyfredol mwyach
• Byddwn yn dogfennu ein penderfyniad os na fyddwn yn dileu nac yn cywiro gwybodaeth anghywir, er enghraifft, pan fydd prosesu’r data yn unol â rheoliadau yn golygu nad yw’r hawliau hyn yn gymwys

Lle y bo’n berthnasol, a hyd y gellir, byddwn yn gwahaniaethu rhwng data personol am gategorïau gwahanol o destun data, megis:

• pobl yr amheuir eu bod wedi cyflawni trosedd neu eu bod ar fin cyflawni trosedd
• pobl a ddyfarnwyd yn euog o drosedd
• pobl y gwyddys neu yr amheuir eu bod yn ddioddefwyr trosedd
• tystion neu bobl eraill sydd â gwybodaeth am droseddau
• pan fo’r data personol yn berthnasol i’r diben o ymchwilio i unigolyn

5.5 Egwyddor 5 – Adran 39 – cyfyngu ar storio data

Ni fyddwn yn cadw data personol sy’n nodi pwy yw testunau data am fwy o amser nag sydd angen.

• Byddwn ond yn cadw data at y dibenion y’u casglwyd ar eu cyfer, neu os bydd gennym ddyletswydd gyfreithiol i wneud hynny
• Byddwn yn dileu data personol, yn sicrhau na ellir eu defnyddio neu’n eu hanonymeiddio’n barhaol pan na fydd eu hangen arnom mwyach

5.6 Egwyddor 6 – Adran 40 – diogelwch

Byddwn yn prosesu ac yn storio data personol yn ddiogel, gan eu diogelu rhag cael eu prosesu heb awdurdod neu’n anghyfreithlon, a rhag cael eu colli, eu dinistrio neu eu difrodi’n ddamweiniol. Byddwn yn gwneud y canlynol:

• sicrhau bod mesurau sefydliadol a thechnegol priodol ar waith i ddiogelu data personol
• cadw at ein safonau diogelwch llym
• darparu hyfforddiant yn rheolaidd i gyflogeion, a thrydydd partïon sy’n prosesu data personol ar ein rhan, ar sut i gadw data yn ddiogel
• cyfyngu mynediad at ddata personol i’r cyflogeion neu drydydd partïon hynny sydd â busnes neu angen cyfreithiol i’w gweld

6. Egwyddor atebolrwydd

Rydym wedi rhoi mesurau technegol a sefydliadol ar waith i fodloni egwyddor atebolrwydd. Mae’r rhain yn cynnwys y canlynol:

• sefydlu Model Llywodraethu Gwybodaeth a reolir gan yr Ymarferydd Diogelu Data, sy’n atebol i Berchennog Risgiau Diogelwch yr Asiantaeth Taliadau Gwledig a Swyddog Diogelu Data Defra
• mabwysiadu dull ‘diogelu data drwy ddylunio ac yn ddiofyn’ o gynnal ein gweithgareddau diogelu data
• cadw dogfennau o’n gweithgareddau prosesu
• mabwysiadu polisïau diogelu data a’u rhoi ar waith a sicrhau bod gennym gontractau ysgrifenedig â’n proseswyr data
• rhoi mesurau diogelwch priodol sy’n ymwneud â’r data personol rydym yn eu prosesu ar waith
• cynnal asesiadau o’r effaith ar ddiogelu data ar gyfer ein gweithgareddau prosesu risg uchel
• adolygu ein mesurau atebolrwydd yn rheolaidd a’u diweddaru neu eu diwygio pan fo angen

7. Atal a dileu

Mae gennym fesurau diogelwch llym ar waith i ddiogelu data personol sensitif. Mae mesurau diogelwch gweinyddol, ffisegol a thechnegol yn diogelu data personol rhag y canlynol:

• prosesu data yn anghyfreithlon
• prosesu data heb awdurdod
• colli neu ddifrodi data yn ddamweiniol

Byddwn yn gwneud yn siŵr bod gweithgarwch prosesu data personol sensitif yn cael ei gofnodi. Bydd y cofnod yn nodi, lle y bo’n bosibl, amserlen addas i ddileu y categorïau gwahanol o ddata yn ddiogel ac yn barhaol yn unol â’n cofrestr cadw cofnodion.

7.1 Cyhoeddi, adolygu a monitro

Dyddiad cyhoeddi – Ebrill 2024

Fersiwn 2.0

Awdur – Diogelu a Llywodraethu Data

Cyfnod adolygu – Bob 2 flynedd

Disgwylir i’r Ddogfen Bolisi Briodol hon gael ei hadolygu yn ystod mis Ebrill 2026 oni fydd datblygiadau sylweddol yn naill ai’r Asiantaeth Taliadau Gwledig neu’r gyfraith yn golygu bod yn rhaid cynnal yr adolygiad cyn hynny. Caiff y Ddogfen Bolisi Briodol hon ei storio lle rydym yn prosesu data personol at ddibenion gorfodi’r gyfraith a’i chadw am gyfnod o chwe mis o leiaf ar ôl i’r fath waith prosesu ddod i ben.

Caiff cydymffurfiaeth â’r polisi ei monitro gan yr Ymarferydd Diogelu Data a’r Perchennog Risgiau Diogelwch a fydd yn adrodd i’r Tîm Gweithredol, a’r Pwyllgor Archwilio a Sicrwydd Risg, yn ôl y gofyn.

8. Deunydd darllen pellach a argymhellir

Darllenwch y polisi hwn ynghyd â’r dogfennau canlynol:

• Polisi Diogelu Data yr Asiantaeth Taliadau Gwledig
• Dogfen Bolisi Briodol: Data Personol Categori Arbennig a Data Troseddau

Mae’r dogfennau hyn ar gael ar dudalen y Polisi Diogelu Data. Efallai y bydd gennych ddiddordeb hefyd yn Siarter Gwybodaeth Bersonol yr Asiantaeth Taliadau Gwledig.