Papur polisi

Polisi Diogelu Data yr Asiantaeth Taliadau Gwledig

Diweddarwyd 27 Mawrth 2025

1. Crynodeb o’r polisi

Mae Polisi Diogelu Data yr Asiantaeth Taliadau Gwledig yn nodi ein hymrwymiad i wneud y canlynol:

• cydymffurfio â deddfwriaeth diogelu data
• diogelu hawliau ein pobl a’r cyhoedd
• bod yn dryloyw ynglŷn â’r ffordd rydym yn casglu, yn storio ac yn prosesu gwybodaeth bersonol
• diogelu ein hunain rhag y risgiau sy’n gysylltiedig â thor diogelwch data

Mae’r polisi hwn yn amlinellu’r ymddygiad a’r cyfrifoldebau a ddisgwylir er mwyn sicrhau ein bod yn cyflawni ein rhwymedigaethau o dan Reoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data (GDPR y DU) a Deddf Diogelu Data 2018.

Mae’r polisi yn gymwys i’r holl waith prosesu data personol a wneir gan yr Asiantaeth Taliadau Gwledig. Mae hyn yn cynnwys gwaith prosesu a wneir gan gyd-reolyddion, contractwyr a phroseswyr.

 

2. Egwyddorion diogelu data

Mae deddfwriaeth diogelu data yn ymdrin â’r ffordd y caiff data personol eu caffael, eu storio, eu rheoli, eu defnyddio a’u gwaredu.

Mae data personol yn cynrychioli nodweddion unigolion a gellir eu defnyddio i wneud penderfyniadau a fydd yn effeithio ar fywydau pobl. Diogelir data personol am y rhesymau canlynol:

• gallai’r camddefnydd posibl o ddata personol gael effaith negyddol ar bobl unigol (testunau data) a sefydliadau
• mae i ddata werth economaidd ac mae deddfwriaeth yn rheoli pwy a all fanteisio ar y gwerth hwnnw, sut ac at ba ddiben

Mae’r polisi hwn yn sicrhau ein bod yn cydymffurfio â’r egwyddorion diogelu data. Mae’r egwyddorion yn nodi bod yn rhaid i ddata personol:

• gael eu defnyddio’n deg, yn gyfreithlon ac yn dryloyw
• cael eu defnyddio at ddibenion datganedig penodedig, cyfyngedig ac na ddylid eu defnyddio na’u datgelu mewn ffordd nad yw’n cyd-fynd â’r dibenion hynny
• bod yn ddigonol, yn berthnasol ac wedi’u cyfyngu i’r hyn sy’n angenrheidiol
• bod yn gywir a chael eu diweddaru’n briodol
• peidio â chael eu cadw am fwy o amser nag sydd angen
• cael eu cadw’n ddiogel o fewn amgylcheddau technegol a sefydliadol fel rhan o’n Model Llywodraethu Gwybodaeth

Rydym hefyd yn ymrwymiad i fod yn gyfrifol ac yn atebol a gallu dangos tystiolaeth o gydymffurfiaeth mewn perthynas â’n gwaith prosesu data personol, fel sy’n ofynnol gan GDPR y DU (a elwir yn egwyddor atebolrwydd).

3. Cwmpas y polisi

Rydym yn cymryd ein cyfrifoldeb am ymdrin â data personol o ddifrif ac yn cymryd pob cam rhesymol i sicrhau y caiff gwybodaeth bersonol ei chasglu, ei chadw ac, fel arall, ei phrosesu mewn modd cyfreithlon. Rydym yn sicrhau bod hawliau testunau data yn cael eu cynnal.

Rydym yn prosesu data amrywiaeth eang o unigolion gan gynnwys y canlynol (ond heb fod yn gyfyngedig iddynt):

• aelodau o’r cyhoedd
• busnesau
• ein pobl
• contractwyr

Rydym yn prosesu’r data personol hyn yn unol â deddfwriaeth diogelu data, gan gynnwys Deddf Diogelu Data 2018 a GDPR y DU. Mae’r polisi hwn yn darparu datganiad cyffredinol o sut rydym yn cyflawni ein rhwymedigaethau cyfreithiol ac yn ymdrin â’r ffordd rydym yn coladu, yn rheoli, yn defnyddio ac yn gwaredu data personol. 

4. Rolau a chyfrifoldebau

Mae gennym dimau ac unigolion â rolau a chyfrifoldebau penodol er mwyn sicrhau ein bod yn cydymffurfio â deddfwriaeth diogelu data.

4.1 Model Llywodraethu Gwybodaeth

Mae’n dwyn ynghyd bolisïau, gweithdrefnau a chanllawiau ar sut rydym yn cymhwyso deddfwriaeth diogelu data.

Caiff ein gweithgarwch llywodraethu gwybodaeth ei lywio ymhellach gan Fframwaith Atebolrwydd Swyddfa’r Comisiynydd Gwybodaeth. Mae hyn yn ein galluogi i asesu ein cydymffurfiaeth â deddfwriaeth.

4.2 Perchennog Asedau Gwybodaeth

Mae’n chwarae rôl arbennig wrth sicrhau bod y gofyniad Llywodraethu Gwybodaeth yn cael ei fodloni gan ei bobl yn ei ardal.

Rydym wedi pennu Perchenogion Asedau Gwybodaeth i bob cyfarwyddiaeth a swyddogaeth arwyddocaol. Arweinwyr ydynt, sy’n gyfrifol am reoli’r risgiau i wybodaeth bersonol a gwybodaeth sy’n bwysig i’r busnes a ddelir o fewn adran. Gan sicrhau y caiff gwybodaeth ei phrosesu â gofal a diwydrwydd dyladwy a bod ei bobl yn gyfarwydd â gweithdrefnau a phrosesau diogelu data.

4.3 Perchennog Risgiau Diogelwch

Y perchennog risgiau diogelwch sy’n atebol, yn y pen draw, am sicrhau y caiff y risg i wybodaeth bersonol ei rheoli’n briodol.

4.4 Grŵp Uned Fusnes Llywodraethu Gwybodaeth

Ynghyd â’r ymarferwyr, mae Perchenogion Asedau Gwybodaeth yn cyfarfod bob chwarter yn y Grŵp Uned Fusnes Llywodraethu Gwybodaeth. Mae’r Grŵp Uned Fusnes Llywodraethu Gwybodaeth yn adrodd i’r Perchennog Risgiau Diogelwch mewn perthynas ag atebolrwydd ac i’r Is-bwyllgor Cyllid a Sicrwydd mewn perthynas â sicrwydd.

4.5 Swyddog Diogelu Data Defra

Fel asiantaeth gyflawni Adran yr Amgylchedd, Bwyd a Materion Gwledig (Defra), mae’r Asiantaeth Taliadau Gwledig hefyd yn atebol i Swyddog Diogelu Data Defra. Mae Swyddog Diogelu Data Defra yn rhoi cyngor ar ddeddfwriaeth diogelu data ac yn monitro cydymffurfiaeth â deddfwriaeth o’r fath.

4.6 Ymarferydd Diogelu Data yr Asiantaeth Taliadau Gwledig

Mae’n gweithredu fel pwynt cyswllt lleol i gydgysylltu â Swyddog Diogelu Data Defra.

Mae rolau llywodraethu eraill a ddisgrifir fel a ganlyn.

4.7 Y Pwyllgor Archwilio a Sicrwydd Risg (ARAC)

Mae’n rhoi cyngor i’r Swyddog Cyfrifyddu ar broses strategol ar gyfer risg, rheoli a llywodraethu. Mae hyn yn cynnwys risgiau sy’n gysylltiedig â diogelu data a chydymffurfiaeth. Mae adroddiadau rheolaidd a gyflwynir i’r Pwyllgor Archwilio a Sicrwydd Risg (ARAC) yn cynnwys diweddariadau gan bob Grŵp Uned Fusnes Llywodraethu Gwybodaeth ar risg gwybodaeth a seiberddiogelwch, ac unrhyw adroddiadau am achosion o dor diogelwch data.

4.8 Y Tîm Gweithredol

Mae’n helpu’r Prif Weithredwr i arwain yr Asiantaeth Taliadau Gwledig i gyflawni ei strategaeth a’i chynllun busnes. Mae’r Tîm Gweithredol yn cynnwys diogelu data mewn blaenoriaethau strategol ac yn cynnal diwylliant llywodraethu gwybodaeth. Mae’n goruchwylio’r swyddogaethau a’r cyfrifoldebau sy’n ymwneud â diogelu data.

4.9 Ein Pobl

Rydym yn disgwyl i’n cyflogeion:

• ddeall a dilyn y polisi hwn
• cymryd rhan mewn hyfforddiant yn ôl y gofyn er mwyn iddynt wybod beth yw eu rhwymedigaethau nhw ac atebolrwyddau’r Asiantaeth Taliadau Gwledig
• gwybod sut i adnabod achosion o dor diogelwch data personol a phrosesu heb awdurdod
• gofyn cwestiynau am ddiogelu data pan na fyddant yn siŵr a chodi unrhyw bryderon gyda’u Perchennog Asedau Gwybodaeth
• rhoi gwybod am unrhyw achosion o dor diogelwch data personol a amheuir yn ddi-oed

5. Arferion

Mae gennym arferion a gweithdrefnau penodol er mwyn sicrhau ein bod yn cydymffurfio â deddfwriaeth diogelu data.

5.1 Data categori arbennig a gwybodaeth sensitif arall

Rydym yn cydnabod bod rhai eitemau o ddata personol yn fwy sensitif a bod angen mwy o ddiogelwch arnynt. Mae hyn yn cynnwys data personol am y canlynol:

• hil neu darddiad ethnig
• barn wleidyddol
• credoau gwleidyddol neu athronyddol
• aelodaeth o undeb llafur
• data genetig
• dulliau adnabod biometrig
• iechyd
• bywyd rhywiol, cyfeiriadedd rhywiol, neu’r ddau
• cofnodion troseddol (euogfarnau a throseddau)

Rydym yn prosesu data categori arbennig a data troseddau o dan ofynion Erthyglau 9 a 10 o GDPR y DU ac Atodlen 1 i Ddeddf Diogelu Data 2018. Mae polisi ar wahân ar gyfer data categori arbennig.

Dim ond o dan un neu fwy o’r amodau prosesu a bennwyd rydym yn prosesu data personol, gan gynnwys data categori arbennig. Mae hyn yn gymwys i bob math o ddata personol, gan gynnwys ffotograffau, recordiadau fideo a lluniau eraill.

5.2 Asesiadau o’r Effaith ar Ddiogelu Data

Bydd yr Asiantaeth Taliadau Gwledig yn cynnal Asesiad o’r Effaith ar Ddiogelu Data wrth gyflwyno gweithgaredd prosesu newydd sy’n debygol o beri risg uchel i hawliau a rhyddidau unigolion. Bydd yr asesiad hwn yn nodi ac yn lliniaru’r risgiau hynny. Lle y bo angen, byddwn yn ceisio cyngor y Swyddog Diogelu Data. Os bydd yr asesiad yn nodi bod y risg yn parhau i fod yn uchel ar ôl ceisio ei lliniaru, byddwn yn ymgynghori â Swyddfa’r Comisiynydd Gwybodaeth.

5.3 Diogelu data drwy ddylunio ac yn ddiofyn

Rydym wedi mabwysiadu cysyniadau diogelu data drwy ddylunio ac yn ddiofyn ym mhob un o’n gweithgareddau prosesu. Mae prosesau prosiect ar waith er mwyn sicrhau bod cydymffurfiaeth a phreifatrwydd yn rhan annatod o unrhyw gynnyrch, prosiect neu wasanaeth a gynigir gennym.

5.4 Plant ac oedolion sy’n agored i niwed

Rydym yn darparu lefel ychwanegol o ddiogelwch ar gyfer data personol plant ac oedolion sy’n agored i niwed. Efallai na fydd rhywun sy’n agored i niwed yn gallu cydsynio’n rhydd i’w data gael eu prosesu na gwrthwynebu hynny.

Wrth brosesu data sy’n ymwneud â phlant ac oedolion sy’n agored i niwed, byddwn yn gwneud y canlynol:

• cwblhau Asesiad o’r Effaith ar Ddiogelu Data
• darparu hysbysiad preifatrwydd ar wahân sy’n ddealladwy i blentyn, sy’n nodi ei hawliau a’r hyn rydym yn ei wneud gyda’i ddata
• gwneud pob ymdrech resymol i sicrhau bod unrhyw un sy’n rhoi ei gydsyniad ei hun o leiaf 13 oed

5.5 Tryloywder

Byddwn yn gwneud yn siŵr y caiff data eu prosesu’n gyfreithlon ac yn deg a bod atebolrwydd am hynny o dan GDPR y DU. Rhaid bod i unrhyw weithgaredd prosesu un o’r seiliau cyfreithlon a nodir yn GDPR y DU. Mae pob sail gyfreithlon yn galluogi unigolyn i gael hawliau penodol sy’n ymwneud â’i ddata personol. Mae’r rhain yn cynnwys yr hawl i gael ei hysbysu am y ffordd y mae ei ddata yn cael eu defnyddio (megis tryloywder).

Wrth gael data yn uniongyrchol gan destun y data, rydym yn darparu hysbysiad preifatrwydd ar adeg casglu’r data. Wrth gael data drwy ffynhonnell trydydd parti, rydym yn darparu hysbysiad preifatrwydd o fewn mis. Bydd yr hysbysiad preifatrwydd yn nodi diben casglu data a manylion y gwaith prosesu yn glir. Byddwn yn olrhain unrhyw newidiadau neu ddiwygiadau i hysbysiadau preifatrwydd. Rydym yn gwneud hyn er mwyn i ni allu dangos ein bod yn prosesu data personol mewn modd tryloyw.

Am gyd-destun gweithgareddau prosesu gwybodaeth bersonol, gweler Siarter Gwybodaeth Bersonol a hysbysiadau preifatrwydd yr Asiantaeth Taliadau Gwledig.

5.6 Cofnod o Weithgareddau Prosesu

Rydym yn cofnodi data personol a gesglir yn ôl thema brosesu yn y Cofnod o Weithgareddau Prosesu. Mae’r Cofnod o Weithgareddau Prosesu yn cysylltu themâu prosesu â’r hysbysiadau preifatrwydd. Rydym yn cofnodi cyfnodau cadw data yn y Cofnod o Weithgareddau Prosesu, yn unol â pholisïau Rheoli Gwybodaeth Defra. Mae ar gael i gyflogeion er mwyn iddynt gyfeirio ato ac mae Perchenogon Asedau Gwybod yn cydweithio â ni i’w gynnal.

5.7 Diogelwch

Rydym yn storio ac yn prosesu data personol mewn ffordd sy’n sicrhau diogelwch y data hynny. Mae hyn yn cynnwys diogelu data personol rhag cael eu prosesu heb awdurdod neu’n anghyfreithlon a rhag cael eu colli, eu dinistrio neu eu difrodi’n ddamweiniol. Rydym yn defnyddio cyfuniad o fesurau technegol a sefydliadol i wneud hyn.

Delir data personol mewn systemau technoleg gwybodaeth (TG) yn unol â Pholisïau Diogelwch Grŵp Defra. Yn benodol:

• cyfyngir ar fynediad at ddata personol yn unol â Dosbarthiad Diogelwch y Llywodraeth
• caiff data categori arbennig eu nodi a’u trin yn unol â hynny, gyda’r Ymarferydd Diogelu Data yn cael ei hysbysu ym mhob achos 
• caiff data personol eu prosesu mewn ffordd fel na ellir adnabod person penodol (dan ffugenw) pan fydd rhannu’r data hyn yn peri mwy o risg

5.8 Hyfforddiant llywodraethu gwybodaeth

Drwy hyfforddiant, arweiniad ac asesu parhaus, rydym yn creu diwylliant o ymwybyddiaeth a gofalu am ddata personol. Rhaid i’n holl bobl gael hyfforddiant Diogelwch a Diogelu Data gorfodol bob blwyddyn. Rydym yn darparu’r hyfforddiant hwnnw ar-lein drwy Civil Service Learning (CSL). Cymeradwyir y modiwl hyfforddi gan y Comisiynydd Gwybodaeth. Mae hyn yn galluogi ein cyflogeion i nodi’r data personol sydd eu hangen ar gyfer tasg sy’n sicrhau eu bod yn casglu gwybodaeth ddigonol a pherthnasol. Bydd yr hyfforddiant:

• yn dangos sut i adnabod digwyddiad diogelwch ac achos o dor diogelwch data personol a gwybod pa gamau i’w cymryd er mwyn ymateb iddo
• yn defnyddio amrywiaeth o dechnolegau a dulliau cyflawni
• yn datblygu i adlewyrchu ffyrdd presennol o weithio a bygythiadau presennol
• yn cael ei lunio ar gyfer cynulleidfa gyffredinol fel ei fod yn berthnasol i’n holl gyflogeion p’un a ydynt yn gweithio mewn swyddfa neu yn y maes
• yn cael ei hyrwyddo drwy systemau cyfathrebu mewnol

Mae asesiad ar ddiwedd yr hyfforddiant y mae’n rhaid i bob cyflogai ei gwblhau. Bydd cwblhau’r asesiad yn dangos eu bod yn deall canlyniadau’r cwrs gorfodol.

5.9 Hyfforddiant ac ymwybyddiaeth bellach ar gyfer rolau uwch

Mae ein tîm diogelu data yn darparu hyfforddiant ychwanegol i’r Perchenogion Asedau Gwybodaeth. Mae hyn yn sicrhau preifatrwydd data unigolion ac yn cynyddu ymwybyddiaeth o risgiau. Gan ymgorffori diwylliant o ddiogelu data drwy ddylunio ac yn ddiofyn ymhellach.

6. Hawliau Unigolion

Mae’r gyfraith yn rhoi mwy o reolaeth i unigolion (testunau data) dros eu gwybodaeth bersonol. Felly, mae gennych yr hawliau canlynol: 

• Yr hawl i gael gwybod sut rydym yn casglu ac yn defnyddio eich data personol
• Hawl mynediad i ofyn am gopi o’r data personol rydym yn eu dal amdanoch, gelwir hyn yn gais am fynediad at ddata gan y testun
• Yr hawl i ddileu i ofyn i ni ddileu data personol a ddelir amdanoch pan na fydd gennym reswm cyfreithiol dros eu cadw mwyach
• Yr hawl i gywiro i ofyn i ni ddiweddaru a chywiro unrhyw ddata personol anghyfredol neu anghywir rydym yn eu dal amdanoch
• Yr hawl i wrthwynebu i ddewis peidio â derbyn unrhyw ohebiaeth farchnata y gallem ei hanfon atoch a gwrthod rhoi caniatâd i ni ddefnyddio neu ddal eich data personol os na fydd gennym reswm dilys dros wneud hynny
• Yr hawl i gyfyngu ar brosesu i ofyn i ni (o dan amgylchiadau penodol) gyfyngu ar brosesu data, sy’n golygu y byddai angen i ni ddiogelu a chadw’r data er eich mwyn chi, ond peidio â’u defnyddio fel arall
• Yr hawl i gludadwyedd data i ofyn i ni (o dan amgylchiadau penodol) roi rhywfaint o’r data personol rydym yn eu dal amdanoch i chi mewn fformat strwythuredig neu roi copi o’r data hynny i sefydliad arall

Hawliau sy’n ymwneud â phrosesau gwneud penderfyniadau awtomataidd gan gynnwys proffilio Nid ydym yn defnyddio unrhyw brosesau gwneud penderfyniadau cwbl awtomataidd ar hyn o bryd. Os bydd hyn yn newid, byddwn yn ystyried y defnydd yn ofalus. Byddem yn sicrhau ein bod ond casglu’r data sydd eu hangen. Byddem yn pennu labeli cadw i unrhyw broffiliau a gaiff eu creu ar gyfer gwneud penderfyniadau awtomataidd. Byddem yn cynnal gwiriadau ychwanegol ar gyfer grwpiau sy’n agored i niwed megis plant.

7. Cwynion Unigol

Os bydd gennych unrhyw bryderon ynglŷn â’r ffordd rydym yn defnyddio eich data personol, darllenwch sut i gysylltu â ni neu wneud cwyn.

8. Atebolrwydd

Rydym yn atebol i’r testunau data rydym yn prosesu eu data. Rydym hefyd yn atebol i Swyddfa’r Comisiynydd Gwybodaeth fel yr Awdurdod Goruchwyliol yn y Deyrnas Unedig. Byddwn yn dangos ein hymrwymiad i arferion diogelu data da drwy ddilyn y camau a amlinellir yn y polisi hwn.

9. Cyhoeddi, adolygu a monitro

Dyddiad cyhoeddi: Ebrill 2024

Fersiwn: 2.0

Awdur: Diogelu a Llywodraethu Data

Cyfnod adolygu: Bob blwyddyn

Disgwylir i’r polisi hwn gael ei adolygu yn ystod mis Ebrill 2025 oni fydd datblygiadau sylweddol yn naill ai’r Asiantaeth Taliadau Gwledig neu’r gyfraith yn golygu bod yn rhaid cynnal adolygiad cyn hynny.

Caiff cydymffurfiaeth â’r polisi ei monitro gan yr Ymarferydd Diogelu Data a’r Perchennog Risgiau Diogelwch a fydd yn adrodd i’r Tîm Gweithredol a’r Pwyllgor Archwilio a Sicrwydd Risg yn ôl y gofyn.

10. Deunydd darllen pellach a argymhellir

Darllenwch y polisi hwn ynghyd â’r dogfennau canlynol:

• Dogfen Bolisi Briodol: Data Personol Categori Arbennig a Data Troseddau
• Dogfen Bolisi Briodol: Prosesu Sensitif at Ddibenion Gorfodi’r Gyfraith

Mae’r dogfennau hyn ar gael ar dudalen y Polisi Diogelu Data. Efallai y bydd gennych ddiddordeb hefyd yn Siarter Gwybodaeth Bersonol yr Asiantaeth Taliadau Gwledig.