Polisi Asesiad o’r Effaith ar Ddiogelu Data

1. Datganiad Polisi

Mae'r Polisi Asesiad o’r Effaith ar Ddiogelu Data yn galluogi Heddlu Dyfed-Powys i sefydlu arferion da o ran defnyddio a thrin gwybodaeth, hyrwyddo diwylliant o ymwybyddiaeth a gwelliant a chydymffurfio â deddfwriaeth. Ei nod yw darparu fframwaith i gyflogeion sy'n amlinellu'r broses briodol ar gyfer rheoli prosiectau sy'n prosesu data personol, yn unol â Rheoliad Diogelu Data Cyffredinol y DU (GDPR y DU), Deddf Diogelu Data (DPA) 2018 a deddfwriaeth gysylltiedig arall.

Mae Swyddfa'r Comisiynydd Gwybodaeth (ICO) yn diffinio Asesiad o’r Effaith ar Ddiogelu Data (DPIA) fel proses i helpu sefydliad i nodi a lleihau risgiau diogelu data prosiect. Rhaid cwblhau un ar gyfer prosesu sy'n debygol o arwain at risg uchel i unigolion, neu unrhyw brosiect neu fenter fawr, newydd sy'n cynnwys defnyddio data personol. Fodd bynnag, gellir defnyddio DPIA ar gyfer unrhyw brosiect neu ddarn o waith a allai gynnwys data personol, i helpu i nodi risgiau preifatrwydd ym mhob maes gwaith a mynd i’r afael â nhw.

Dogfen “fyw” yw DPIA a dylid ailymweld â hi’n rheolaidd er mwyn sicrhau na fu unrhyw newidiadau i’r ffordd mae’r data’n cael ei ddefnyddio, ac nad oes unrhyw risgiau newydd.  

Gall DPIA gynorthwyo Perchennog Asedau Gwybodaeth (IAO) i asesu’r risgiau sy’n gysylltiedig â’r asedau gwybodaeth y maent yn gyfrifol amdanynt. Bydd yn cynorthwyo’r IAO i ddeall y risgiau sy’n gysylltiedig ag asedau gwybodaeth a mynd i’r afael â nhw ar ran yr Uwch Berchennog Risg Gwybodaeth (SIRO) a’u defnyddwyr terfynol, a sicrhau bod y data’n cael ei ddefnyddio’n llawn o fewn y gyfraith.

Mae’r polisi hwn yn hollbwysig ar gyfer helpu swyddogion, staff a gwirfoddolwyr Heddlu Dyfed-Powys i ddeall y broses gywir ar gyfer rheoli prosiectau a mentrau sy'n prosesu data personol. Mae gwybodaeth yn arf pwerus ac yn ased hanfodol, o ran prosesau gorfodi’r gyfraith a rheoli gwasanaethau ac adnoddau ledled yr Heddlu.

Mae'n hollbwysig bod cyflogeion yn deall sut i drin data personol yn gyfreithlon a'u bod yn deall eu cyfrifoldebau wrth ystyried dulliau newydd o brosesu. Mae hyn yn berthnasol i wybodaeth sy'n ymwneud â'r sefydliad, ei swyddogion, staff a gwirfoddolwyr, a’r cyhoedd. Mae hefyd yn hanfodol bod polisïau, gweithdrefnau a phrosesau priodol yn darparu sylfaen gadarn ar gyfer cydymffurfio â diogelu data ledled yr Heddlu.

Mae’n berthnasol (ond heb fod yn gyfyngedig) i: Pob categori o swyddogion a staff Heddlu Dyfed-Powys, p'un a ydynt yn llawn amser, yn rhan-amser, yn barhaol, ar dymor penodol, dros dro (gan gynnwys staff asiantaeth, cymdeithion a chontractwyr), staff ar secondiad a gwirfoddolwyr. Rhaid i unrhyw swyddogion, staff a gwirfoddolwyr yr heddlu sy'n cyrchu ac yn defnyddio asedau ac eiddo'r Heddlu roi sylw dyledus i gynnwys y polisi hwn.

 

2. Cwmpas y Polisi

Mae rhwymedigaeth statudol ar Heddlu Dyfed-Powys i brosesu data personol yn unol â darpariaethau GDPR y DU mewn perthynas â phrosesau nad ydynt yn gorfodi’r gyfraith a DPA 2018 mewn perthynas â phrosesau gorfodi’r gyfraith.

O dan Erthyglau 35 a 36 GDPR y DU a Chronicliadau 74-77, 84, 89-92, 94 a 95, mae gofynion cyfreithiol yn cael eu gosod ar yr Heddlu mewn perthynas â chwblhau DPIA. Nod y polisi hwn yw sicrhau cysondeb yn rheolaeth Heddlu Dyfed-Powys o unrhyw brosiectau neu fentrau mawr, newydd sy'n cynnwys defnyddio data personol (hyd yn oed os nad oes arwydd penodol o risg uchel debygol) a chydymffurfiad â'r ddeddfwriaeth berthnasol a'r canllawiau ymarfer gorau.

Mae Heddlu Dyfed-Powys yn cydymffurfio ag Ymarfer Proffesiynol Awdurdodedig y Coleg Plismona (APP) ar Reoli Gwybodaeth.  Mae'r APP yn darparu safonau ac arweiniad clir o ran preifatrwydd trwy ddyluniad ac yn ddiofyn a DPIA o dan ddeddfwriaeth diogelu data'r DU. Yn ogystal, mae Heddlu Dyfed-Powys yn dilyn unrhyw ganllawiau perthnasol a ddarperir gan Swyddfa'r Comisiynydd Gwybodaeth (ICO) mewn perthynas â materion diogelu data.

Mae’n ofynnol i bob swyddog, aelod staff a gwirfoddolwr ddeall ei gyfrifoldebau o dan ddeddfwriaeth diogelu data'r DU, gyda grwpiau staff penodol yn gofyn am wybodaeth fanylach am DPIA. Cyfrifoldeb POB swyddog, aelod staff a gwirfoddolwr yw diogelu data a rhaid cadw at y polisi hwn.

Mae'r polisi hwn yn cael ei sbarduno cyn gynted ag y bydd prosiect neu fenter newydd sy'n cynnwys defnyddio data personol yn cael ei nodi, neu mae newid i natur, cwmpas, cyd-destun neu ddibenion prosesu sydd ar y gweill mewn prosiect sy'n bodoli eisoes sy'n ymwneud â data personol.

Os na chedwir at y polisi hwn a/neu os na chaiff DPIA eu cwblhau ar yr adeg briodol, mae risgiau posibl i'r Heddlu yn cynnwys, ond heb fod yn gyfyngedig i:

• Anallu i sicrhau a chynnal ymddiriedaeth a hyder unigolion yn yr Heddlu, oherwydd methu â rhoi sicrwydd i unigolion bod eu buddiannau’n cael eu gwarchod ac na wnaed ymdrechion digonol i leihau unrhyw effaith negyddol arnynt
• Niwed i enw da Heddlu Dyfed-Powys
• Methu â chydymffurfio â deddfwriaeth berthnasol, gan gynnwys dangos cydymffurfiad â rhwymedigaethau atebolrwydd
• Y posibilrwydd o dorri deddfwriaeth diogelu data'r DU, gan arwain at gamau posibl yn cael eu cymryd yn erbyn yr Heddlu gan yr ICO, am fethu â chyflawni ei rwymedigaethau hawliau gwybodaeth
• Colled ariannol i’r Heddlu

 

3.  Pwerau a Gofynion Polisi/Cyfreithiol  

Mae rhwymedigaeth gyfreithiol ar Heddlu Dyfed-Powys i gydymffurfio â deddfwriaeth diogelu data'r DU. Bydd Heddlu Dyfed-Powys hefyd yn cyfeirio at Arferion Proffesiynol Awdurdoedig - Rheoli Gwybodaeth - Diogelu Data - Asesiad o'r effaith ar ddiogelu data (DPIA) y Coleg Plismona.

 

Mae deddfwriaeth berthnasol yn cynnwys:

• Deddf Diogelu Data 2018
• Rheoliad Diogelu Data Cyffredinol y DU (GDPR y DU)
• Deddf Rhyddid Gwybodaeth 2000
• Deddf Hawliau Dynol 1998

Mae'r gofyniad i gwblhau DPIA, gan yr Heddlu, yn cael ei lywodraethu gan GDPR y DU. Mae'n ofynnol i grwpiau staff allweddol sy’n ymwneud â phrosiectau a mentrau newydd ar unrhyw lefel ar draws yr Heddlu ddeall eu cyfrifoldebau o dan y ddeddfwriaeth hon o ran cydnabod pryd mae angen DPIA, a gwybod pa adran i gysylltu â hi i gael cyngor ac arweiniad.

 

Mae hyn yn cynnwys, ond heb fod yn gyfyngedig i, Berchnogion Asedau Gwybodaeth (IAO), Gweinyddwyr Asedau Gwybodaeth (IAA) a Rheolwyr Prosiect, fodd bynnag, efallai bydd angen i unrhyw un sy’n cychwyn prosiect neu ddarn o waith sy’n ymwneud â data personol ymgymryd â DPIA cyn i’r data personol hwnnw gael ei ddefnyddio ar gyfer y diben a fwriadwyd.

Mae mwy o fanylion ar gael yn nogfen Canllawiau DPIA..

Dylai'r polisi hwn hefyd gael ei ddarllen ar y cyd â'r polisïau, protocolau, arferion a/neu gytundebau gwasanaethau canlynol:

• Dogfen Ganllaw DPIA
• Dogfen Templed DPIA
• Polisi Diogelu Data
• Polisi Diogelwch Gwybodaeth
• Polisi Rhyddid Gwybodaeth
• Polisi Rhannu Gwybodaeth
• Polisi Rheoli Cofnodion
• Polisi Archwilio Cydymffurfiaeth Diogelu Data
• Canllawiau Rheoli Gwybodaeth Ymarfer Proffesiynol Awdurdodedig (AAP) y Coleg Plismona
• Llawlyfr Canllawiau Diogelu Data Cyngor Cenedlaethol Penaethiaid yr Heddlu (NPCC)
• Cod Ymarfer a Chanllawiau Swyddfa'r Comisiynydd Gwybodaeth
• Llawlyfr Uwch Berchnogion Rheoli Risg Cyngor Cenedlaethol Prif Swyddogion yr Heddlu
• Llawlyfr Perchnogion Asedau Gwybodaeth Cyngor Cenedlaethol Prif Swyddogion yr Heddlu

 

4.  Dewisiadau a Chynlluniau Wrth Gefn

Rolau a Chyfrifoldebau o fewn Heddlu Dyfed-Powys

Prif Gwnstabl

Prif Gwnstabl Heddlu Dyfed-Powys yw'r Rheolwr Data ac o'r herwydd mae ganddo gyfrifoldeb cyffredinol am brosesu'r holl ddata personol a brosesir gan yr Heddlu yn gyfreithlon. Mae ganddo hefyd atebolrwydd cyffredinol am ddogfennau gweithdrefnol ac mae’n bennaf gyfrifol am gydymffurfio â'r polisi hwn a diogelu data ar draws yr Heddlu cyfan. Mae Erthygl 35 GDPR y DU yn nodi cyfrifoldebau’r Rheolwr Data mewn perthynas ag ymgymryd â DPIA.

 

1. Uwch Berchennog Risg Gwybodaeth (SIRO)

Dirprwy Brif Gwnstabl (DCC) Heddlu Dyfed-Powys yw'r Uwch Berchennog Risg Gwybodaeth (SIRO) penodedig. Maen nhw'n gyfrifol am:

• Atebolrwydd cyffredinol am risg gwybodaeth ar draws yr Heddlu
• Cynrychioli a hyrwyddo risg gwybodaeth
• Sicrhau’r wybodaeth ddiweddaraf am yr holl hyfforddiant angenrheidiol er mwyn parhau i fod yn effeithiol yn eu rôl fel SIRO
• Deall effaith risgiau gwybodaeth ar gofrestr risg yr Heddlu, a sut y gellir lleihau a rheoli'r risgiau hynny
• Lle bo angen, darparu cymeradwyaeth ar gyfer DPIA, a
• Cadeirio'r Bwrdd Sicrwydd Gwybodaeth

 

Swyddog Diogelu Data (DPO)

Pennaeth Rheoli Gwybodaeth Heddlu Dyfed-Powys yw'r Swyddog Diogelu Data (DPO) penodedig. Maen nhw'n gyfrifol am:

• Diogelu cyfrinachedd data personol ar draws yr Heddlu
• Cynrychioli a hyrwyddo materion a gofynion diogelu data, gan gynnwys gofynion DPIA
• Sicrhau bod yr Heddlu'n bodloni'r safonau ymarferol uchaf ar gyfer trin data personol
• Galluogi rhannu gwybodaeth addas â chyrff eraill
• Sicrhau bod holl DPIA yn cael eu hadlewyrchu'n briodol ym mholisïau, gweithdrefnau, prosesau a strategaethau'r Heddlu ar gyfer swyddogion, staff a gwirfoddolwyr
• Cynorthwyo'r Heddlu i ddangos cydymffurfiad â deddfwriaeth diogelu data'r DU fel rhan o'r ffocws gwell ar atebolrwydd
• Gweithredu fel pwynt cyswllt ar gyfer cyflogeion, gwrthrychau data a'r ICO mewn perthynas â DPIA
• Hysbysu a chynghori ar rwymedigaethau diogelu data, mewn perthynas â DPIA, ledled yr Heddlu
• Lle bo angen, nodi bod angen DPIA at bwrpas penodol
• Rhoi cyngor ac arweiniad ar gynnwys DPIA, a
• Lle bo angen, ymgynghori â'r ICO mewn perthynas â phrosesu risg uchel a nodwyd o fewn DPIA.
• Mae Erthygl 39 GDPR y DU yn nodi tasgau’r Swyddog Diogelu Data mewn perthynas â DPIA.

Perchennog/Perchnogion Asedau Gwybodaeth (IAO)

Mae Perchnogion Asedau Gwybodaeth (IAO) yn uwch gyflogeion sy'n berchnogion enwebedig ar un neu fwy o asedau gwybodaeth a nodwyd. Maen nhw'n gyfrifol am:

• Monitro a deall pa wybodaeth - papur ac electronig - sy'n cael ei chadw a sut mae'n cael ei chynnal; gwybod a chymeradwyo pwy sydd â mynediad iddi a pham
• Cydnabod pryd mae angen DPIA, a gwybod pa adrannau y dylid ymgynghori â hwy fel rhan o'r broses honno a ble i gael cyngor ac arweiniad
• Cwblhau DPIA mor gynnar ag y bo modd mewn amserlen prosiect
• Rhoi cymeradwyaeth ar gyfer holl DPIA wedi'u cwblhau
• Adolygu DPIA pan fo angen
• Ceisio defnyddio gwybodaeth yn llawn o fewn y gyfraith
• Nodi a mynd i'r afael â risgiau i'r wybodaeth
• Annog diwylliant sy'n gwerthfawrogi, amddiffyn a defnyddio gwybodaeth er budd y cyhoedd, a
• Sicrhau bod y Polisi Asesiad o’r Effaith ar Ddiogelu Data yn cael ei weithredu a bod pawb yn cadw ato yn eu maes busnes.

 

Ymgynghorydd Diogelu Data

Mae’r Ymgynghorydd Diogelu Data yn gyfrifol am:

• Cynnal ymwybyddiaeth o faterion diogelu data ar draws yr Heddlu, gan gynnwys materion sy'n ymwneud â DPIA
• Annog diwylliant sy'n gwerthfawrogi, amddiffyn a defnyddio gwybodaeth er budd y cyhoedd
• Adolygu a diweddaru'r Polisi Asesiad o’r Effaith ar Ddiogelu Data pan fo hynny'n briodol, yn unol â deddfwriaeth
• Adolygu a diweddaru'r holl weithdrefnau a phrosesau sy'n ymwneud â'r polisi hwn lle bo hynny'n briodol
• Sicrhau bod pob IAO yn ymwybodol o'u cyfrifoldebau a'u hatebolrwydd o ran DPIA a gofynion y polisi hwn
• Rhoi cyngor ac arweiniad ar gynnwys DPIA
• Sicrhau bod gweithwyr perthnasol yn cael yr hyfforddiant priodol ac angenrheidiol i wella eu dealltwriaeth o'u cyfrifoldebau wrth ystyried dulliau prosesu newydd, a
• Hysbysu a chynghori ar rwymedigaethau diogelu data ledled yr heddlu, gan gynnwys dyletswyddau DPIAS.

 

Rheolwyr Prosiect

Mae Rheolwyr Prosiect yn gyfrifol am:

• Cydnabod pryd mae angen DPIA, a gwybod pa adran i gysylltu â hi i gael cyngor ac arweiniad.
• Nodi IAO yn ystod camau cynnar prosiect neu fenter sy’n cynnwys prosesu data personol.
• Lle bo angen, cynorthwyo'r IAO i gwblhau DPIA mor gynnar ag y bo modd mewn amserlen prosiect.
• Cynnwys yr Adran Rheoli Gwybodaeth a Chydymffurfiaeth yn ystod camau cynnar y prosiect neu’r fenter i sicrhau bod materion Diogelu Data/GDPR y DU yn cael eu trin a’u cynghori.

 

Uwch Reolwr – Llywodraethu a Newid – Uned Gwella Gwasanaethau

Mae’r Uwch Reolwr – Llywodraethu a Newid – Uned Gwella Gwasanaethau yn gyfrifol am:

• Rhoi cyngor ac arweiniad ar gynnwys DPIA o safbwynt rheoli risg.

 

Swyddog Diogelwch Gwybodaeth

Mae'r Swyddog Diogelwch Gwybodaeth yn gyfrifol am:

• Rhoi cyngor ac arweiniad ar gynnwys DPIA o safbwynt diogelwch gwybodaeth a sicrwydd.

 

ff.  Swyddogion Rhannu Gwybodaeth

Mae Swyddogion Rhannu Gwybodaeth yn gyfrifol am:

• Gweithredu fel pwynt cyswllt ar gyfer cyflogeion mewn perthynas â DPIA
• Lle bo angen, cynghori a oes angen DPIA at bwrpas penodol
• Cynorthwyo IAO/Rheolwyr Prosiect i gwblhau DPIA trwy ddarparu cyngor ac arweiniad
• Sicrhau fod ganddynt y wybodaeth ddiweddaraf am yr holl gyngor ac arweiniad DPIA o ffynonellau perthnasol e.e. yr ICO
• Cynrychioli a hyrwyddo y gofyniad am DPIA ar draws yr Heddlu
• Galluogi rhannu gwybodaeth addas â chyrff eraill
• Cysylltu ag arbenigwyr pwnc yn yr Heddlu i symud DPIA ymlaen
• Sicrhau bod yr holl gyflogeion perthnasol yn cyflawni eu cyfrifoldebau o dan DPIA mewn amserlen resymol
• Lle bo hynny'n berthnasol, hwyluso cyhoeddi DPIA, a
• Cychwyn yr adolygiad o DPIA pan fo angen.

 

g.  Swyddog Cydymffurfiaeth Diogelu Data

Mae'r Swyddog Cydymffurfiaeth Diogelu Data yn gyfrifol am:

• Sicrhau bod yr holl argymhellion a wneir yn ystod y broses DPIA yn cael eu bodloni, trwy gyswllt rheolaidd â'r IAO a chynnal Archwiliadau Cydymffurfiaeth Diogelu Data

 

ng. Goruchwylydd Ansawdd Data a Chofnodion

Mae’r Goruchwylydd Ansawdd Data a Chofnodion y gyfrifol am:

• Sicrhau bod y Gofrestr Asedau Gwybodaeth (IAR) yn cael ei diweddaru i adlewyrchu unrhyw wybodaeth berthnasol mewn DPIA

 

h. Pob Swyddog, Staff a Gwirfoddolwr

Mae'n ofynnol i bob swyddog, staff a gwirfoddolwr ddeall ei gyfrifoldebau o dan ddeddfwriaeth diogelu data'r DU, a gwybod bod angen cysylltu â'r Adran Rheoli Gwybodaeth gydag unrhyw ymholiadau sy'n ymwneud â DPIA.

 

Diogelwch Data fel Rhan Annatod o’r Broses

Mae GDPR y DU yn nodi gofyniad cyfreithiol o ran ei fod yn mynnu bod yr Heddlu’n rhoi mesurau technegol a sefydliadol ar waith i weithredu’r egwyddorion diogelu data’n effeithio a diogelu hawliau unigolion. ‘Diogelwch data fel rhan annatod o’r broses’ yw hyn. Mae hynny’n golygu bod yr Heddlu’n integreiddio data gyda’i weithgarwch prosesu ac arferion busnes, o’r cam cynllunio drwy gydol y cylch bywyd. Mae diogelwch data fel rhan annatod o’r broses yn ymwneud ag ystyried materion preifatrwydd a diogelu data ym mhopeth y mae’r heddlu’n ei wneud. Gall helpu’r Heddlu i sicrhau ei fod yn cydymffurfio â gofynion ac egwyddorion sylfaenol GDPR y DU ac yn ffurfio rhan o’r ffocws ar atebolrwydd. Gall y broses DPIA gynorthwyo’r Heddlu i gydymffurfio â’r gofynion hwn ar ran y Rheolydd Data.

 

5.  Gweithredu ac Adolygu

Mae'r polisi hwn yn eiddo i'r Adran Rheoli Gwybodaeth a Chydymffurfiaeth. Bydd y broses adolygu yn cael ei chynnal gan yr Ymgynghorydd Diogelu Data bob dwy flynedd i sicrhau effeithiolrwydd parhaus y polisi, gan ystyried unrhyw newidiadau i ddeddfwriaeth, canllawiau cenedlaethol, canllawiau ICO ac ati.

Bydd effeithiolrwydd y polisi yn cael ei fonitro'n rheolaidd yn ychwanegol at y cyfnod adolygu dwy flynedd a bydd unrhyw bryderon mawr yn cael eu huwchgyfeirio fel y bo'n briodol.

Bydd effeithiolrwydd y polisi yn cael ei fesur trwy broses Archwilio Cydymffurfiaeth Diogelu Data'r Heddlu ac archwilio'r mynediad i'r ddogfen a'r ddogfennaeth ganllaw gysylltiedig. Y nod yw gwirio ymwybyddiaeth o'r angen i gwblhau DPIA a sicrhau cydymffurfiad â deddfwriaeth diogelu data'r DU. Hefyd, bydd mesur nifer yr ymholiadau a gyfeirir at yr Adran mewn perthynas â'r broses DPIA a'r polisi yn caniatáu mesur ei effeithiolrwydd.

Yn achos unrhyw ymholiadau ynglŷn â'r polisi hwn, ei gynnwys, neu'r ddogfennaeth ganllaw gysylltiedig - dylai unigolion gysylltu ag:

• Ymgynghorydd Diogelu Data Heddlu Dyfed-Powys
• E-bost: [email protected]
• Post: Ymgynghorydd Diogelu Data, Heddlu Dyfed-Powys, BLWCH POST 99, Llangynnwr, Sir Gaerfyrddin, SA31 2PF

Bydd y polisi hwn yn cael ei hyrwyddo'n briodol, a all gynnwys codi ymwybyddiaeth pan ddarperir mewnbynnau hyfforddi a chyflwyniadau i weithwyr ledled yr Heddlu. Bydd y polisi ar gael ar fewnrwyd a rhyngrwyd yr Heddlu.  Bydd cyhoeddi trwy'r rhyngrwyd yn sicrhau ei fod ar gael i'r cyhoedd ei weld.

Bydd unrhyw faterion sy'n peri pryder neu risg mewn perthynas â chydymffurfio â deddfwriaeth diogelu data'r DU ar draws yr Heddlu yn cael eu trosglwyddo i Swyddog Diogelu Data'r Heddlu, SIRO yr Heddlu a’r Bwrdd Sicrwydd Gwybodaeth, yn dibynnu ar ddifrifoldeb y mater.

Bydd gwybodaeth am unrhyw faterion diogelu data posibl eraill ar draws yr Heddlu, yn cael ei phrosesu yn unol â Pholisi Diogelu Data'r Heddlu. Gall adroddiadau o'r fath, ac ymchwiliad dilynol, dynnu sylw at faterion gyda'r polisi hwn a chanllawiau cysylltiedig, a allai arwain at adolygiad angenrheidiol. Os digwydd hyn, cymerir camau perthnasol. Bydd yr Ymgynghorydd Diogelu Data yn gweithio'n agos gyda chynrychiolwyr o'r adrannau perthnasol i fynd i'r afael â'r materion a sicrhau y bydd unrhyw wersi a ddysgir yn cael eu hadrodd a'u rhaeadru yn llawn yn ôl yr angen.