Polisi Diogelu Data Webber Design ar Gyfer GDPR

1 Rhagymadrodd

2 Mae Webber Design ltd (Webber Design) wedi ymrwymo i ddiogelu hawliau a rhyddid gwrthrychau data a phrosesu eu data yn ddiogel ac yn ddiogel yn unol â'n holl rwymedigaethau cyfreithiol.

3 Rydym yn cadw data personol am ein gweithwyr, cleientiaid, cyflenwyr ac unigolion eraill at amrywiaeth o ddibenion busnes.

4 Mae’r polisi hwn yn nodi sut rydym yn ceisio diogelu data personol a sicrhau bod ein staff yn deall y rheolau sy’n llywodraethu eu defnydd o’r data personol y mae ganddynt fynediad iddo yn ystod eu gwaith. Yn benodol, mae’r polisi hwn yn ei gwneud yn ofynnol i staff sicrhau yr ymgynghorir â’r Swyddog Diogelu Data (DPO) cyn cychwyn unrhyw weithgarwch prosesu data newydd o bwys er mwyn sicrhau yr eir i’r afael â’r camau cydymffurfio perthnasol.

5 Diffiniadau

Dibenion Busnes

Y dibenion y gall data personol gael eu defnyddio gennym ni ar eu cyfer:

Dibenion personél, gweinyddol, ariannol, rheoleiddiol, cyflogres a datblygu busnes.

Mae dibenion busnes yn cynnwys y canlynol:

  • Cydymffurfio â'n rhwymedigaethau cyfreithiol, rheoleiddiol a llywodraethu corfforaethol ac arfer da
  • Casglu gwybodaeth fel rhan o ymchwiliadau gan gyrff rheoleiddio neu mewn cysylltiad ag achosion cyfreithiol neu geisiadau
  • Sicrhau y cedwir at bolisïau busnes (fel polisïau sy’n ymwneud â defnyddio e-bost a’r rhyngrwyd)
  • Ymchwilio i gwynion
  • Marchnata ein busnes
  • Gwella gwasanaethau

Data Personol

Mae 'data personol' yn golygu unrhyw wybodaeth sy'n ymwneud â pherson naturiol adnabyddadwy neu berson naturiol adnabyddadwy ('testun data'); mae person naturiol adnabyddadwy yn un y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol, yn benodol drwy gyfeirio at ddynodwr fel enw, rhif adnabod, data lleoliad, dynodwr ar-lein neu at un neu fwy o ffactorau sy’n benodol i’r ffisegol, ffisiolegol, hunaniaeth enetig, feddyliol, economaidd, ddiwylliannol neu gymdeithasol y person naturiol hwnnw.

Gall data personol a gasglwn gynnwys: enwau, rhif ffôn a chyfeiriad e-bost unigolion.

Categorïau Arbennig o Ddata Personol

Mae categorïau arbennig o ddata yn cynnwys gwybodaeth am darddiad hiliol neu ethnig unigolyn, barn wleidyddol, credoau crefyddol neu gredoau tebyg, aelodaeth o undeb llafur (neu ddiffyg aelodaeth), iechyd neu gyflwr corfforol neu feddyliol, troseddau neu achosion cysylltiedig, a genetig a biometrig. gwybodaeth — dylai unrhyw ddefnydd o gategorïau arbennig o ddata personol gael ei reoli’n llym yn unol â’r polisi hwn.

Rheolydd Data

Mae ‘rheolwr data’ yn golygu’r person naturiol neu gyfreithiol, awdurdod cyhoeddus, asiantaeth neu gorff arall sydd, ar ei ben ei hun neu ar y cyd ag eraill, yn pennu dibenion a dulliau prosesu data personol; lle mae dibenion a dulliau prosesu o'r fath yn cael eu pennu gan y gyfraith.

Prosesydd Data

Mae 'prosesydd' yn golygu person naturiol neu gyfreithiol, awdurdod cyhoeddus, asiantaeth neu gorff arall sy'n prosesu data personol ar ran y rheolydd.

Prosesu

Mae ‘prosesu’ yn golygu unrhyw weithrediad neu set o weithrediadau a gyflawnir ar ddata personol neu ar setiau o ddata personol, boed hynny drwy ddulliau awtomataidd ai peidio, megis casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu trwy drosglwyddo, lledaenu neu wneud ar gael fel arall, aliniad neu gyfuniad, cyfyngu, dileu neu ddinistrio.

Awdurdod Goruchwylio

Dyma’r corff cenedlaethol sy’n gyfrifol am ddiogelu data. Yr awdurdod goruchwylio ar gyfer ein sefydliad yw [Swyddfa’r Comisiynydd Gwybodaeth]

6 Cwmpas

Mae'r polisi hwn yn berthnasol i bob aelod o staff, y mae'n rhaid iddynt fod yn gyfarwydd â'r polisi hwn a chydymffurfio â'i delerau.

Mae'r polisi hwn yn ategu ein polisïau eraill sy'n ymwneud â defnyddio'r rhyngrwyd ac e-bost. Gallwn ategu neu ddiwygio’r polisi hwn gan bolisïau a chanllawiau ychwanegol o bryd i’w gilydd. Bydd unrhyw bolisi newydd neu ddiwygiedig yn cael ei ddosbarthu i staff cyn ei fabwysiadu.

Pwy sy'n gyfrifol am y policy hwn?

Fel ein swyddog diogelu data (DPO), mae gan Rhys Webber gyfrifoldeb cyffredinol am weithredu’r polisi hwn o ddydd i ddydd. Dylech gysylltu â’r DPO am ragor o wybodaeth am y polisi hwn os oes angen.

Ffôn: 01633 674418 : Oriau swyddfa safonol: Llun-Gwener, 9am - 5pm

7 Yr Egwyddorion

Bydd Webber Design yn cydymffurfio ag egwyddorion diogelu data (yr Egwyddorion) a restrir yn Rheoliad Diogelu Data Cyffredinol yr UE. Byddwn yn gwneud pob ymdrech bosibl ym mhopeth a wnawn i gydymffurfio â’r egwyddorion hyn. Yr Egwyddorion yw:

1. Cyfreithlon, teg a thryloyw

Rhaid i gasglu data fod yn deg, at ddiben cyfreithiol a rhaid inni fod yn agored ac yn dryloyw o ran sut y caiff y data ei ddefnyddio.

2. Cyfyngedig i'w ddiben

Dim ond at ddiben penodol y gellir casglu data.

3. Lleihau data

Rhaid i unrhyw ddata a gesglir fod yn angenrheidiol ac nid yn ormodol at ei ddiben.

4. Cywir

Mae'n rhaid i'r data sydd gennym fod yn gywir a chael ei gadw'n gyfredol.

5. Cadw

Ni allwn storio data yn hwy nag sydd angen.

6. Uniondeb a chyfrinachedd

Rhaid cadw’r data sydd gennym yn ddiogel.

Atebolrwydd A Thryloywder

Rhaid inni sicrhau atebolrwydd a thryloywder yn ein holl ddefnydd o ddata personol. Rhaid inni ddangos sut yr ydym yn cydymffurfio â phob Egwyddor. Chi sy’n gyfrifol am gadw cofnod ysgrifenedig o sut mae’r holl weithgareddau prosesu data yr ydych yn gyfrifol amdanynt yn cydymffurfio â phob un o’r Egwyddorion. Rhaid cadw hwn yn gyfredol a rhaid iddo gael ei gymeradwyo gan y DPO.

Er mwyn cydymffurfio â chyfreithiau diogelu data ac Egwyddor atebolrwydd a thryloywder GDPR, rhaid i ni ddangos cydymffurfiaeth. Chi sy’n gyfrifol am ddeall eich cyfrifoldebau penodol i sicrhau ein bod yn bodloni’r rhwymedigaethau diogelu data canlynol:

Gweithredu'r holl fesurau technegol a threfniadol priodol yn llawn
Cynnal dogfennaeth gyfredol a pherthnasol ar yr holl weithgareddau prosesu
Cynnal Asesiadau Effaith Diogelu Data
Gweithredu mesurau i sicrhau preifatrwydd trwy ddyluniad a rhagosodiad, gan gynnwys:

  • Lleihau data
  • Ffugenw
  • Tryloywder
  • Caniatáu i unigolion fonitro prosesu
  • Creu a gwella diogelwch a gweithdrefnau preifatrwydd gwell yn barhaus

8 Ein Gweithdrefnau

Prosesu teg a chyfreithlon.

Rhaid inni brosesu data personol yn deg ac yn gyfreithlon yn unol â hawliau unigolion o dan yr Egwyddor gyntaf. Mae hyn yn gyffredinol yn golygu na ddylem brosesu data personol oni bai bod yr unigolyn yr ydym yn prosesu ei fanylion wedi cydsynio i hyn ddigwydd.

Os na allwn gymhwyso sail gyfreithlon (a eglurir isod), nid yw ein prosesu yn cydymffurfio â'r egwyddor gyntaf a bydd yn anghyfreithlon. Mae gan wrthrychau data yr hawl i gael unrhyw ddata sydd wedi'i brosesu'n anghyfreithlon wedi'i ddileu

Rheoli VS Prosesu Data

Mae Webber Design yn cael ei ddosbarthu fel rheolydd data. Mae’n rhaid i ni gynnal ein cofrestriad priodol gyda Swyddfa’r Comisiynydd Gwybodaeth er mwyn parhau i reoli data’n gyfreithlon.

Os oes gennych unrhyw amheuaeth ynglŷn â sut yr ydym yn trin data, cysylltwch â'r DPO am eglurhad.

SAIL GYFREITHLON AR GYFER PROSESU DATA
Rhaid inni sefydlu sail gyfreithlon ar gyfer prosesu data. Sicrhewch fod gan unrhyw ddata yr ydych yn gyfrifol am ei reoli sail gyfreithlon ysgrifenedig a gymeradwyir gan y DPO. Eich cyfrifoldeb chi yw gwirio sail gyfreithlon unrhyw ddata rydych chi'n gweithio gyda nhw a sicrhau bod eich holl weithredoedd yn cydymffurfio â'r sail gyfreithlon. Rhaid i o leiaf un o’r amodau canlynol fod yn berthnasol pryd bynnag y byddwn yn prosesu data personol: 

Cydsyniad

Mae gennym ganiatâd diweddar, clir, eglur a diffiniedig i ddata'r unigolyn gael ei brosesu at ddiben penodol.

Cytundeb

Mae'r prosesu yn angenrheidiol i gyflawni neu baratoi contract ar gyfer yr unigolyn.

Rhwymedigaeth gyfreithiol

Mae gennym rwymedigaeth gyfreithiol i brosesu’r data (ac eithrio contract).

Diddordebau hanfodol

Mae prosesu'r data yn angenrheidiol i amddiffyn bywyd person neu mewn sefyllfa feddygol.

Swyddogaeth gyhoeddus

Mae sail gyfreithiol glir i brosesu sy’n angenrheidiol i gyflawni swyddogaeth gyhoeddus, tasg er budd y cyhoedd neu’r swyddogaeth.

Llog cyfreithlon

Mae'r prosesu yn angenrheidiol ar gyfer ein buddiannau cyfreithlon. Nid yw’r amod hwn yn berthnasol os oes rheswm da dros ddiogelu data personol yr unigolyn sy’n drech na’r budd cyfreithlon.

9 Categorïau Arbennig O Ddata Personol

Beth yw categorïau arbennig o ddata personol?

Roedd hyn yn cael ei adnabod yn flaenorol fel data personol sensitif, ac mae hyn yn golygu data am unigolyn sy’n fwy sensitif, felly mae angen mwy o amddiffyniad. Gallai’r math hwn o ddata greu risgiau mwy sylweddol i hawliau a rhyddid sylfaenol person, er enghraifft drwy eu rhoi mewn perygl o wahaniaethu anghyfreithlon. Mae'r categorïau arbennig yn cynnwys gwybodaeth am:

  • hil
  • tarddiad ethnig
  • gwleidyddiaeth
  • crefydd
  • aelodaeth undeb llafur
  • geneteg
  • biometreg (lle caiff ei ddefnyddio at ddibenion adnabod)
  • iechyd
  • cyfeiriadedd rhywiol

Nid yw Webber Desgin yn casglu nac yn prosesu unrhyw un o'r data sensitif uchod.

Yn y rhan fwyaf o achosion lle rydym yn prosesu categorïau arbennig o ddata personol, bydd angen caniatâd penodol gwrthrych y data i wneud hyn oni bai bod amgylchiadau eithriadol yn berthnasol neu ei bod yn ofynnol i ni wneud hyn yn ôl y gyfraith (e.e. i gydymffurfio â rhwymedigaethau cyfreithiol i sicrhau iechyd a diogelwch yn y gwaith) . Bydd angen i unrhyw ganiatâd o’r fath nodi’n glir beth yw’r data perthnasol, pam ei fod yn cael ei brosesu ac i bwy y caiff ei ddatgelu.

Rhaid i’r amod ar gyfer prosesu categorïau arbennig o ddata personol gydymffurfio â’r gyfraith. Os nad oes gennym sail gyfreithlon ar gyfer prosesu categorïau arbennig o ddata rhaid i’r gweithgarwch prosesu hwnnw ddod i ben.

10 Cyfrifoldeb

Ein cyfrifoldebau

  • Dadansoddi a dogfennu'r math o ddata personol sydd gennym
  • Gwirio gweithdrefnau i sicrhau eu bod yn cwmpasu holl hawliau'r unigolyn
  • Nodi'r sail gyfreithlon ar gyfer prosesu data
  • Sicrhau bod gweithdrefnau caniatâd yn gyfreithlon
  • Gweithredu ac adolygu gweithdrefnau i ganfod, adrodd ac ymchwilio i achosion o dorri rheolau data personol
  • Storio data mewn ffyrdd diogel a sicr
  • Aseswch y risg y gellid ei pheri i hawliau a rhyddid unigolion pe bai data’n cael ei beryglu

Eich cyfrifoldebau

  • Deall eich rhwymedigaethau diogelu data yn llawn
  • Gwiriwch fod unrhyw weithgareddau prosesu data yr ydych yn delio â nhw yn cydymffurfio â’n polisi ac yn gyfiawn
  • Peidiwch â defnyddio data mewn unrhyw ffordd anghyfreithlon
  • Peidiwch â storio data yn anghywir, byddwch yn ddiofal ag ef neu fel arall achosi i ni dorri cyfreithiau diogelu data a'n polisïau trwy eich gweithredoedd
  • Cydymffurfio â'r polisi hwn bob amser
  • Codi unrhyw bryderon, rhoi gwybod am unrhyw doriadau neu gamgymeriadau, a rhoi gwybod am unrhyw beth amheus neu anghyson i’r polisi hwn neu ein rhwymedigaethau cyfreithiol yn ddi-oed.

Cyfrifoldebau'r Swyddog Diogelu Data

  • Rhoi’r wybodaeth ddiweddaraf i’r bwrdd am gyfrifoldebau, risgiau a materion diogelu data
  • Adolygu'r holl weithdrefnau a pholisïau diogelu data yn rheolaidd
  • Trefnu hyfforddiant a chyngor ar ddiogelu data i bob aelod o staff a’r rhai sydd wedi’u cynnwys yn y polisi hwn
  • Ateb cwestiynau ar ddiogelu data gan staff, aelodau bwrdd a rhanddeiliaid eraill
  • Ymateb i unigolion fel cleientiaid a gweithwyr sy'n dymuno gwybod pa ddata sy'n cael ei gadw gennym ni arnynt
  • Gwirio a chymeradwyo gyda thrydydd parti sy'n trin data'r cwmni unrhyw gontractau neu gytundeb ynghylch prosesu data

Cyfrifoldebau'r Rheolwr Tg

  • Sicrhau bod yr holl systemau, gwasanaethau, meddalwedd ac offer yn bodloni safonau diogelwch derbyniol
  • Gwirio a sganio caledwedd a meddalwedd diogelwch yn rheolaidd i sicrhau ei fod yn gweithio'n iawn
  • Ymchwilio i wasanaethau trydydd parti, megis gwasanaethau cwmwl y mae'r cwmni'n ystyried eu defnyddio i storio neu brosesu data

Cyfrifoldebau'r Rheolwr Marchnata

  • Cymeradwyo datganiadau diogelu data sydd ynghlwm wrth e-byst a chopi marchnata arall
  • Mynd i'r afael ag ymholiadau diogelu data gan gleientiaid, cynulleidfaoedd targed neu gyfryngau
  • Cydlynu gyda'r DPO i sicrhau bod pob menter farchnata yn cadw at gyfreithiau diogelu data a Pholisi Diogelu Data'r cwmni

Cywirdeb a Pherthnasedd

Byddwn yn sicrhau bod unrhyw ddata personol a broseswn yn gywir, yn ddigonol, yn berthnasol ac nad yw’n ormodol, o ystyried y diben y’i cafwyd ar ei gyfer. Ni fyddwn yn prosesu data personol a gafwyd at un diben at unrhyw ddiben digyswllt oni bai bod yr unigolyn dan sylw wedi cytuno i hyn neu y byddai’n rhesymol ddisgwyl hyn fel arall.

Gall unigolion ofyn i ni gywiro data personol anghywir yn ymwneud â nhw. Os ydych yn credu bod y wybodaeth yn anghywir dylech gofnodi’r ffaith bod anghydfod ynghylch cywirdeb y wybodaeth a hysbysu’r DPO.

Cadw Data

Mae’n rhaid i ni gadw data personol dim mwy nag sy’n angenrheidiol. Bydd yr hyn sy’n angenrheidiol yn dibynnu ar amgylchiadau pob achos, gan gymryd i ystyriaeth y rhesymau y cafwyd y data personol, ond dylid ei benderfynu mewn modd sy’n gyson â’n canllawiau cadw data.

11 Hawliau Unigolion

Mae gan unigolion hawliau i’w data y mae’n rhaid i ni eu parchu a chydymffurfio â nhw hyd eithaf ein gallu. Rhaid inni sicrhau y gall unigolion arfer eu hawliau yn y ffyrdd canlynol:

1. Hawl i gael gwybod

  • Darparu hysbysiadau preifatrwydd sy’n gryno, yn dryloyw, yn ddealladwy ac yn hawdd eu cyrraedd, yn rhad ac am ddim, sydd wedi’u hysgrifennu mewn iaith glir a syml, yn enwedig os ydynt wedi’u hanelu at blant.
  • Cadw cofnod o sut rydym yn defnyddio data personol i ddangos cydymffurfiaeth â’r angen am atebolrwydd a thryloywder.

2. Hawl mynediad

  • Galluogi unigolion i gael mynediad at eu data personol a gwybodaeth atodol
  • Caniatáu i unigolion fod yn ymwybodol a gwirio cyfreithlondeb y gweithgareddau prosesu

3. Hawl i gywiro

  • Rhaid i ni gywiro neu ddiwygio data personol yr unigolyn os gofynnir am hynny oherwydd ei fod yn anghywir neu’n anghyflawn.
  • Rhaid gwneud hyn yn ddi-oed, a dim hwyrach na mis. Gellir ymestyn hyn i ddau fis gyda chaniatâd y DPO.

4. Hawl i ddileu

  • Rhaid i ni ddileu neu ddileu data unigolyn os gofynnir amdano ac nid oes unrhyw reswm cymhellol dros barhau i'w brosesu.

5. Hawl i gyfyngu ar brosesu

  • Rhaid i ni gydymffurfio ag unrhyw gais i gyfyngu, rhwystro neu atal prosesu data personol fel arall.
  • Caniateir i ni storio data personol os yw wedi’i gyfyngu, ond nid ei brosesu ymhellach. Rhaid inni gadw digon o ddata i sicrhau bod yr hawl i gyfyngiad yn cael ei barchu yn y dyfodol.

6. Yr hawl i gludadwyedd data

  • Rhaid inni ddarparu eu data i unigolion fel y gallant ei ailddefnyddio at eu dibenion eu hunain neu ar draws gwahanol wasanaethau.
  • Rhaid inni ei ddarparu mewn fformat y gellir ei ddarllen gan beiriant yn gyffredin, a'i anfon yn uniongyrchol at reolwr arall os gofynnir amdano.

7. Hawl i wrthwynebu

  • Rhaid inni barchu hawl unigolyn i wrthwynebu prosesu data ar sail budd cyfreithlon neu berfformiad tasg budd y cyhoedd.
  • Rhaid inni barchu hawl unigolyn i wrthwynebu marchnata uniongyrchol, gan gynnwys proffilio.
  • Rhaid inni barchu hawl unigolyn i wrthwynebu prosesu ei ddata ar gyfer ymchwil ac ystadegau gwyddonol a hanesyddol.

8. Hawliau mewn perthynas â gwneud penderfyniadau a phroffilio awtomataidd

  • Rhaid inni barchu hawliau unigolion mewn perthynas â gwneud penderfyniadau a phroffilio awtomataidd.
  • Mae unigolion yn cadw eu hawl i wrthwynebu prosesu awtomataidd o'r fath, i gael esboniad o'r rhesymeg, ac i ofyn am ymyrraeth ddynol.

12 Hysbysiad Preifatrwydd

Pryd i roi hysbysiad preifatrwydd

  • Rhaid darparu hysbysiad preifatrwydd ar yr adeg y ceir y data os ceir yn uniongyrchol oddi wrth wrthrych y data. Os na cheir y data’n uniongyrchol gan wrthrych y data, rhaid darparu’r hysbysiad preifatrwydd o fewn cyfnod rhesymol ar ôl cael y data, sy’n golygu o fewn mis.
  • Os yw’r data’n cael ei ddefnyddio i gyfathrebu â’r unigolyn, yna mae’n rhaid darparu’r hysbysiad preifatrwydd ar yr hwyraf pan fydd y cyfathrebu cyntaf yn digwydd.
  • Os rhagwelir datgeliad i dderbynnydd arall, yna rhaid darparu'r hysbysiad preifatrwydd cyn i'r data gael ei ddatgelu.

Beth i'w gynnwys mewn hysbysiad preifatrwydd

Rhaid i hysbysiadau preifatrwydd fod yn gryno, yn dryloyw, yn ddealladwy ac yn hawdd eu cyrraedd. Cânt eu darparu am ddim a rhaid eu hysgrifennu mewn iaith glir a blaen, yn enwedig os ydynt wedi'u hanelu at blant

Rhaid cynnwys y wybodaeth ganlynol mewn hysbysiad preifatrwydd i bob gwrthrych data:

  • Gwybodaeth adnabod a chyswllt y rheolydd data a’r swyddog diogelu data
  • Pwrpas prosesu’r data a’r sail gyfreithlon dros wneud hynny
  • Buddiannau cyfreithlon y rheolydd neu drydydd parti, os yw’n berthnasol Yr
    hawl i dynnu caniatâd yn ôl unrhyw bryd, os yw’n berthnasol 
    categori o’r data personol (dim ond ar gyfer data nas cafwyd yn uniongyrchol gan wrthrych y data)
  • Unrhyw dderbynnydd neu gategorïau o dderbynwyr y data personol
  • Gwybodaeth fanwl am unrhyw drosglwyddiadau i drydydd gwledydd a mesurau diogelu sydd ar waith
  • Cyfnod cadw’r data neu’r meini prawf a ddefnyddir i penderfynu ar y cyfnod cadw, gan gynnwys manylion ar gyfer gwaredu data ar ôl y cyfnod cadw
  • Yr hawl i gyflwyno cwyn i’r ICO, a gweithdrefnau cwyno mewnol
  • Ffynhonnell y data personol, ac a ddaeth o ffynonellau sydd ar gael i’r cyhoedd (dim ond ar gyfer data nas cafwyd yn uniongyrchol gan wrthrych y data)
  • Unrhyw fodolaeth o wneud penderfyniadau awtomataidd, gan gynnwys proffilio a gwybodaeth am sut y gwneir y penderfyniadau hynny, eu harwyddocâd a’u canlyniadau i wrthrych y data

A yw darparu data personol yn rhan o ofyniad neu rwymedigaeth statudol o dan gontract a chanlyniadau posibl unrhyw fethiant i ddarparu’r data (dim ond ar gyfer data a gafwyd yn uniongyrchol oddi wrth gwrthrych y data)

13 Ceisiadau Gwrthrych Am Wybodaeth
Beth yw cais gwrthrych am wybodaeth?

Mae gan unigolyn yr hawl i gael cadarnhad bod ei ddata’n cael ei brosesu, mynediad i’w ddata personol a gwybodaeth atodol sy’n golygu’r wybodaeth y dylid ei darparu mewn hysbysiad preifatrwydd.

Sut rydym yn delio â cheisiadau gwrthrych am wybodaeth

Rhaid i ni ddarparu copi o'r wybodaeth y mae'r cais yn berthnasol iddo, yn rhad ac am ddim. Rhaid i hyn ddigwydd yn ddi-oed, ac o fewn mis o'i dderbyn. Rydym yn ymdrechu i ddarparu mynediad gwrthrych data i'w gwybodaeth mewn fformatau electronig a ddefnyddir yn gyffredin, a lle bo modd, darparu mynediad uniongyrchol i'r wybodaeth drwy system ddiogel mynediad o bell.

Os yw cydymffurfio â’r cais yn gymhleth neu’n niferus, gellir ymestyn y dyddiad cau o ddau fis, ond rhaid hysbysu’r unigolyn o fewn mis. Rhaid i chi gael cymeradwyaeth gan y DPO cyn ymestyn y dyddiad cau.

Gallwn wrthod ymateb i geisiadau penodol, a gallwn, mewn amgylchiadau lle mae’r cais yn amlwg yn ddi-sail neu’n ormodol, godi ffi. Os yw'r cais am swm mawr o ddata, gallwn ofyn i'r unigolyn nodi'r wybodaeth y mae'n gofyn amdani. Dim ond gyda chaniatâd penodol y DPO y gellir gwneud hyn.

Unwaith y bydd cais gwrthrych am wybodaeth wedi'i wneud, ni chewch newid na diwygio unrhyw ran o'r data y gofynnwyd amdano. Mae gwneud hynny yn drosedd.

Ceisiadau Cludadwyedd Data

Rhaid i ni ddarparu'r data y gofynnir amdano mewn fformat strwythuredig, a ddefnyddir yn gyffredin ac sy'n ddarllenadwy gan beiriant. Ffeil CSV fyddai hon fel arfer, er bod fformatau eraill yn dderbyniol. Rhaid inni ddarparu’r data hwn naill ai i’r unigolyn sydd wedi gofyn amdano, neu i’r rheolydd data y maent wedi gofyn iddo gael ei anfon ato. Rhaid gwneud hyn yn ddi-dâl a heb oedi, a dim hwyrach na mis. Gellir ymestyn hyn i ddau fis ar gyfer ceisiadau cymhleth neu niferus, ond rhaid hysbysu’r unigolyn o’r estyniad o fewn mis a rhaid i chi dderbyn caniatâd penodol gan y DPO yn gyntaf.

14 Hawl I Ddileu

Beth yw'r hawl i ddileu?

Mae gan unigolion hawl i gael eu data wedi’i ddileu ac i brosesu ddod i ben o dan yr amgylchiadau canlynol:

  • Lle nad yw’r data personol bellach yn angenrheidiol mewn perthynas â’r diben y cafodd ei gasglu a/neu ei brosesu ar ei gyfer yn wreiddiol
  • Lle tynnir caniatâd yn ôl
  • Lle mae’r unigolyn yn gwrthwynebu prosesu ac nad oes budd cyfreithlon tra phwysig ar gyfer parhau â’r prosesu
  • Roedd y data personol yn cael ei brosesu’n anghyfreithlon neu fel arall yn torri cyfreithiau diogelu data
  • Er mwyn cydymffurfio â rhwymedigaeth gyfreithiol
  • Mae'r prosesu yn ymwneud â phlentyn
  • Sut rydym yn delio â'r hawl i ddileu

Dim ond o dan yr amgylchiadau canlynol y gallwn wrthod cydymffurfio â hawl i ddileu:

  • I arfer yr hawl i ryddid mynegiant a gwybodaeth
  • Cydymffurfio â rhwymedigaeth gyfreithiol ar gyfer cyflawni tasg budd y cyhoedd neu arfer awdurdod swyddogol
  • At ddibenion iechyd y cyhoedd er budd y cyhoedd
  • At ddibenion archifo er budd y cyhoedd, ymchwil wyddonol, ymchwil hanesyddol neu ddibenion ystadegol
  • Ymarfer neu amddiffyn hawliadau cyfreithiol
  • Os yw data personol y mae angen ei ddileu wedi’i drosglwyddo i bartïon neu dderbynwyr eraill, rhaid cysylltu â nhw a rhoi gwybod iddynt am eu rhwymedigaeth i ddileu’r data. Os bydd yr unigolyn yn gofyn, rhaid inni roi gwybod iddynt am y derbynwyr hynny.

Yr Hawl I Wrthwynebu

Mae gan unigolion yr hawl i wrthwynebu i’w data gael ei ddefnyddio ar sail sy’n ymwneud â’u sefyllfa benodol. Rhaid inni roi’r gorau i brosesu oni bai:

  • Mae gennym seiliau cyfreithlon dros brosesu sy’n drech na buddiannau, hawliau a rhyddid yr unigolyn.
  • Mae’r prosesu’n ymwneud â sefydlu, gweithredu neu amddiffyn hawliadau cyfreithiol.
  • Rhaid i ni bob amser hysbysu'r unigolyn o'i hawl i wrthwynebu yn y pwynt cyfathrebu cyntaf, hy yn yr hysbysiad preifatrwydd. Rhaid inni gynnig ffordd i unigolion wrthwynebu ar-lein.

Fel rheolydd data, mae'n rhaid i ni gael contractau ysgrifenedig gydag unrhyw reolwyr data trydydd parti (a/neu) proseswyr data a ddefnyddiwn. Mae’n rhaid i’r contract gynnwys cymalau penodol sy’n nodi ein rhwymedigaethau, rhwymedigaethau a chyfrifoldebau hwy a’u rhwymedigaethau.

Fel rheolydd data, dim ond proseswyr sy’n gallu darparu gwarantau digonol o dan GDPR y mae’n rhaid i ni eu penodi ac y bydd hawliau testunau data yn cael eu parchu a’u diogelu.

Contractau

Rhaid i’n contractau gydymffurfio â’r safonau a nodir gan yr ICO a, lle bo’n bosibl, dilyn y cymalau cytundebol safonol sydd ar gael. Rhaid i’n contractau gyda [rheolwyr data (a/neu) proseswyr data] nodi testun a hyd y prosesu, natur a diben datganedig y gweithgareddau prosesu, y mathau o ddata personol a chategorïau gwrthrych y data, a’r rhwymedigaethau a hawliau'r rheolydd.

O leiaf, rhaid i’n contractau gynnwys telerau sy’n nodi:

  • Gweithredu ar gyfarwyddiadau ysgrifenedig yn unig
  • Mae'r rhai sy'n ymwneud â phrosesu'r data yn destun dyletswydd cyfrinachedd
  • Bydd mesurau priodol yn cael eu cymryd i sicrhau diogelwch y prosesu
  • Bydd is-broseswyr ond yn cael eu cyflogi gyda chaniatâd ymlaen llaw gan y rheolydd ac o dan gontract ysgrifenedig
  • Bydd y rheolydd yn cynorthwyo’r prosesydd i ymdrin â cheisiadau gwrthrych am wybodaeth a chaniatáu i wrthrychau data arfer eu hawliau o dan GDPR
  • Bydd y prosesydd yn cynorthwyo’r rheolydd i gyflawni ei rwymedigaethau GDPR mewn perthynas â diogelwch prosesu, hysbysu am dorri rheolau data a gweithredu Asesiadau Effaith Diogelu Data
  • Dileu neu ddychwelyd yr holl ddata personol ar ddiwedd y contract
  • Cyflwyno archwiliadau ac arolygiadau rheolaidd, a darparu pa bynnag wybodaeth sydd ei hangen er mwyn i'r rheolwr a'r prosesydd gyflawni eu rhwymedigaethau cyfreithiol.
  • Ni fydd y rheolydd na'r prosesydd yn gwneud unrhyw beth i dorri'r GDPR. 

18 Archwiliadau, Monitro A Hyfforddiant

Archwiliadau data

Bydd archwiliadau data rheolaidd i reoli a lliniaru risgiau yn llywio'r gofrestr ddata. Mae hwn yn cynnwys gwybodaeth am ba ddata sy’n cael ei gadw, ble mae’n cael ei storio, sut mae’n cael ei ddefnyddio, pwy sy’n gyfrifol ac unrhyw reoliadau pellach neu amserlenni cadw a allai fod yn berthnasol. Rhaid i chi gynnal archwiliad data rheolaidd fel y'i diffinnir gan y DPO a gweithdrefnau arferol.

Monitro

Rhaid i bawb gadw at y polisi hwn. Y DPO sydd â chyfrifoldeb cyffredinol am y polisi hwn. Bydd [ein sefydliad] yn adolygu’r polisi hwn yn barhaus ac yn ei ddiwygio neu ei newid yn ôl yr angen. Mae’n rhaid i chi roi gwybod i’r DPO am unrhyw achosion o dorri’r polisi hwn. Rhaid i chi gydymffurfio â'r polisi hwn yn llawn a bob amser.

Hyfforddiant

Byddwch yn derbyn hyfforddiant digonol ar ddarpariaethau cyfraith diogelu data sy'n benodol i'ch rôl. Rhaid i chi gwblhau'r holl hyfforddiant yn ôl y gofyn. Os byddwch yn symud rôl neu gyfrifoldebau, chi sy'n gyfrifol am ofyn am hyfforddiant diogelu data newydd sy'n berthnasol i'ch rôl neu gyfrifoldebau newydd.

19 Rhoi Gwybod Am Dorri Amodau

Rhaid rhoi gwybod am unrhyw achos o dorri’r polisi hwn neu ddeddfau diogelu data cyn gynted ag sy’n ymarferol bosibl. Mae hyn yn golygu cyn gynted ag y byddwch wedi dod yn ymwybodol o doriad. Mae gan Webber Design rwymedigaeth gyfreithiol i roi gwybod i'r ICO am unrhyw achosion o dorri data o fewn 72 awr.

Mae rhwymedigaeth ar bob aelod o staff i roi gwybod am fethiannau cydymffurfio diogelu data gwirioneddol neu bosibl. Mae hyn yn ein galluogi i:

  • Ymchwilio i'r methiant a chymryd camau adferol os oes angen
  • Cadw cofrestr o fethiannau cydymffurfio
  • Rhoi gwybod i [enw’r awdurdod goruchwylio] am unrhyw fethiannau cydymffurfio sy’n berthnasol naill ai yn eu rhinwedd eu hunain neu fel rhan o batrwm o fethiannau

Bydd unrhyw aelod o staff sy’n methu â hysbysu am doriad, neu y canfyddir ei fod yn hysbys neu’n amau ​​bod toriad wedi digwydd ond nad yw wedi dilyn y gweithdrefnau adrodd cywir yn agored i gamau disgyblu.

Meithiant I Gydymffurio

Rydym yn cymryd cydymffurfio â’r polisi hwn o ddifrif. Mae methu â chydymffurfio yn eich rhoi chi a’r sefydliad mewn perygl.

Mae pwysigrwydd y polisi hwn yn golygu y gall methu â chydymffurfio ag unrhyw ofyniad arwain at gamau disgyblu o dan ein gweithdrefnau a allai arwain at ddiswyddo.

Os oes gennych unrhyw gwestiynau neu bryderon am unrhyw beth yn y polisi hwn, mae croeso i chi gysylltu â’r DPO.