Neidio i'r prif gynnwy

Hysbysiad preifatrwydd

Diben yr hysbysiad hwn yw rhoi gwybod i chi pam a sut rydym yn prosesu eich data personol.

 

Cyflwyniad

Ymddiriedolaeth GIG Iechyd Cyhoeddus Cymru yw asiantaeth iechyd y cyhoedd cenedlaethol Cymru. Ein nod yw diogelu a gwella iechyd a llesiant a lleihau anghydraddoldebau iechyd i bobl Cymru. 

Fe'n sefydlwyd yn 2009 gan ddeddfwriaeth i gyflawni swyddogaethau penodol. Rydym yn galw'r rhain yn ein swyddogaethau statudol. Mae angen i ni brosesu elfennau o'ch data personol er mwyn ein galluogi i gyflawni'r swyddogaethau hyn. Diben yr hysbysiad hwn yw eich hysbysu ynghylch pa ddata rydym yn eu prosesu, sut rydym yn eu prosesu a pham. Gan ein bod yn prosesu eich data personol, rydym yn Rheolydd Data ac felly mae'n ofynnol i ni gydymffurfio â chyfraith Diogelu Data berthnasol.

 

Y data personol rydym yn eu prosesu

Mae eich data personol yn golygu unrhyw wybodaeth sy'n ymwneud â chi sydd, naill ai ar ei phen ei hun neu ynghyd â gwybodaeth arall, yn eich adnabod chi. Mae angen i ni brosesu amrywiaeth eang o ddata personol er mwyn cyflawni ein swyddogaethau, yn cynnwys (ond heb fod yn gyfyngedig i) y canlynol:

  • Enw, cyfeiriad a manylion cyswllt (yn cynnwys e-bost a rhifau ffôn)
  • Dyddiad geni, rhif GIG neu rif Ysbyty
  • Gwybodaeth ynghylch eich iechyd corfforol a meddyliol a geneteg/genomeg
  • Ffotograffau rydych chi wedi cydsynio iddynt gael eu tynnu
  • Eich barn am faterion Iechyd y Cyhoedd a'r gwasanaethau a ddarparwn

Gan fod angen i ni sicrhau ein bod yn darparu ar gyfer pob rhan o'n cymuned, rydym hefyd yn casglu'r hyn a elwir yn ddata demograffeg, megis data am ethnigrwydd, cyfeiriadedd rhywiol, rhywedd, credoau crefyddol ac athronyddol yn ogystal â gwybodaeth am incwm a lefelau cyfoeth ac amddifadedd. Ni fyddwn yn defnyddio'r wybodaeth hon i wneud penderfyniadau ynghylch sut rydym yn eich trin chi fel unigolyn a'ch dewis chi bob amser yw a ydych chi am roi'r wybodaeth hon i ni.  

Efallai y byddwn yn paru eich cyfeiriad â data sydd ar gael yn gyhoeddus am lefelau amddifadedd ardaloedd lleol i dargedu gwasanaethau yn yr ardaloedd lleol hynny sydd fwyaf mewn angen.

Nid ydym yn casglu nac yn prosesu’r holl ddata personol hyn ar gyfer pawb drwy’r amser. Rydym ond yn casglu ac yn prosesu'r data personol sy'n angenrheidiol ar gyfer y dasg benodol yr ydym yn ei chyflawni.

 

Sut rydym yn casglu eich data personol

Rydym yn casglu eich data personol o amrywiaeth o ffynonellau, yn cynnwys:

  • Gwybodaeth a ddarparwyd i ni gennych chi’n uniongyrchol
  • Gwybodaeth a ddarparwyd gan sefydliadau eraill y GIG a sefydliadau iechyd a gofal 
    • Meddygon Teulu a Meddygon eraill
    • Byrddau Iechyd, Ysbytai a gwasanaethau triniaeth eraill
    • Sefydliadau diagnostig a sefydliadau eraill sy'n ymgymryd â thasgau cyhoeddus
    • Cartrefi Gofal
  • Arolygon ac ymchwil

 

Sut rydym yn defnyddio eich data personol

Rydym am i chi a'ch teulu gael yr iechyd gorau posibl ac rydym yn prosesu'r data personol sydd eu hangen arnom i'n helpu i gyflawni hyn. Rydym ond yn prosesu’r lleiafswm o ddata personol sydd ei angen arnom i gyflawni’r dasg rydym yn ei gwneud.

Rydym yn prosesu eich data personol yn bennaf at ddibenion sy'n gysylltiedig ag iechyd y cyhoedd yn uniongyrchol ac sy'n ofynnol i sicrhau eich bod yn cael gofal iechyd a gwasanaethau iechyd y cyhoedd o ansawdd uchel drwy'r GIG a sefydliadau perthnasol eraill (megis awdurdodau lleol). Fodd bynnag, rydym yn ei brosesu am resymau cyffredinol eraill, megis:

Rhoi gwybodaeth i chi yr ydych wedi gofyn amdani;

  • Ymdrin â'ch ymholiadau
  • Darparu mynediad i rai rhannau o'n gwefannau;
  • Rhoi gwybod i chi am wasanaethau a allai fod yn berthnasol i chi;
  • Os ydych chi'n gwneud cais i weithio i ni (mae gennym Hysbysiad Preifatrwydd Staff ar wahân sy'n ymdrin â hyn)
  • Archwilio defnydd o'n systemau a'n gwefannau
  • Ymdrin â chwynion a phryderon

Bydd datblygiadau mewn data a thechnoleg yn parhau i ddarparu ffyrdd newydd o ddeall a gwella iechyd. Byddwn yn diweddaru'r Hysbysiad Preifatrwydd hwn i gynnwys newidiadau i brosesu eich data personol.

 

Y sail gyfreithiol ar gyfer prosesu eich data personol

Byddwn ond yn prosesu eich data personol mewn cysylltiad â'n swyddogaethau statudol.

Mewn rhai achosion, mae gennym rwymedigaeth gyfreithiol i brosesu data personol, er enghraifft mewn cysylltiad â'r hyn a elwir yn 'glefydau hysbysadwy'. Mewn achosion eraill, rydym yn cael prosesu eich data personol o dan ddeddfwriaeth Diogelu Data oherwydd bod y prosesu yn “angenrheidiol ar gyfer cyflawni tasg a gyflawnir er budd y cyhoedd neu wrth ymarfer awdurdod swyddogol sydd wedi’i freinio yn y rheolwr”. 

Seiliau cyfreithiol eraill y gallwn eu defnyddio a data personol categori arbennig

Cydsyniad

Nid ydym fel arfer yn dibynnu ar gydsyniad fel y sail gyfreithiol ar gyfer prosesu data personol am eich iechyd oherwydd pe byddech yn gwrthod, ni fyddem yn gallu darparu gwasanaeth iechyd effeithlon i chi na diogelu'r cyhoedd.

Fodd bynnag, mewn rhai achosion efallai y bydd yn briodol dibynnu ar gydsyniad fel y sail gyfreithiol ar gyfer prosesu.  Er enghraifft, pan fyddwch wedi cytuno y gallwn ni ddefnyddio gwybodaeth amdanoch chi a'ch profiadau ac efallai tynnu llun neu fideo mewn cysylltiad ag ymgyrch hybu iechyd.  Pan fydd prosesu yn seiliedig ar eich cydsyniad, mae gennych hawl i dynnu'r cysyniad hwnnw'n ôl ar unrhyw adeg.

Buddiannau dilys

Mewn rhai achosion, efallai y bydd yn briodol prosesu eich data personol ar sail yr hyn a elwir yn fuddiannau dilys.  Nid yw cyrff cyhoeddus fel arfer yn dibynnu ar y sail hon ond pan fyddwn ni, byddwn yn gyntaf yn cynnal prawf buddiant dilys sy'n ceisio cydbwyso ein buddiannau wrth brosesu'r wybodaeth â'ch buddiannau chi fel gwrthrych y data.

Gwybodaeth Ychwanegol

Pan fyddwn yn casglu eich data personol gennych yn uniongyrchol, byddwn yn rhoi gwybodaeth ychwanegol i chi fel eich bod yn deall sut y caiff ei defnyddio ac i sicrhau bod y defnydd yn deg ac yn dryloyw. Pan fyddwn yn casglu'r wybodaeth honno gan drydydd parti, byddwn yn sicrhau bod yr wybodaeth ar gael i chi, er enghraifft drwy ddarparu taflenni a phosteri mewn lleoliadau priodol sy'n nodi ble y gellir cael rhagor o wybodaeth.

Data personol categori arbennig

Pan fyddwn yn prosesu'r hyn a elwir yn ddata personol categori arbennig, fel data am iechyd, rhaid inni nodi sail gyfreithiol ychwanegol sy'n cyfiawnhau defnyddio'r data hwnnw. Y sail yr ydym yn dibynnu arni amlaf yw:

  • GDPR (Y Rheoliad Cyffredinol ar Ddiogelu Data) Erthygl 9 (2) (h) Darparu meddygaeth ataliol neu alwedigaethol, gofal neu driniaeth iechyd neu gymdeithasol, neu reoli systemau iechyd neu ofal cymdeithasol
  • Erthygl 9 (2) (i) GDPR – mae prosesu’n angenrheidiol am resymau budd y cyhoedd ym maes iechyd y cyhoedd.

 

Rhannu eich data personol ag eraill

Weithiau rydym yn rhannu eich data personol â sefydliadau eraill. Dim ond pan fydd sail gyfreithiol glir dros wneud hynny neu oherwydd bod y gyfraith yn ei gwneud yn ofynnol i ni rannu eich gwybodaeth y byddwn yn gwneud hynny. Byddwn ond yn rhannu'r isafswm data adnabyddadwy sydd ei angen ar gyfer y diben gofynnol. Pan fyddwn yn defnyddio neu'n rhannu data ar gyfer dadansoddi a gwerthuso, byddwn yn ceisio gwneud hynny mewn ffyrdd nad ydynt yn eich adnabod chi.

Pan fyddwn yn penderfynu ei bod yn angenrheidiol rhannu data personol, byddwn yn ymrwymo i 'Gytundeb Rhannu Data'  gyda'r bobl y byddwn yn eu rhannu â nhw. Mae Cytundebau Rhannu Data yn cael eu llunio yn unol â Chytundeb Rhannu Gwybodaeth Bersonol Cymru (WASPI). Mae rhagor o fanylion am Gytundebau Rhannu Data ar gael ar wefan WASPI.

 

Sefydliadau y gallwn rannu eich data personol â nhw 

Rhannu â rhannu eraill o GIG Cymru

Efallai y byddwn yn rhannu gwybodaeth yn ôl yr angen â rhannau eraill o GIG Cymru a chyda'ch meddyg a'ch ysbyty i roi gofal i chi, i wella gofal ac i atal lledaeniad haint. Mae llawer o'r gwasanaethau TG o fewn GIG Cymru yn cael eu darparu gan Iechyd a Gofal Digidol Cymru (IGDC), sydd hefyd yn rhan o GIG Cymru.

Rhannu ag Awdurdodau Lleol

Weithiau mae angen i ni rannu gwybodaeth ag awdurdodau lleol oherwydd bod ganddyn nhw gyfrifoldebau dros ddiogelu iechyd yr amgylchedd a’r cyhoedd.

Rhannu â Sefydliadau Iechyd y DU a Rhyngwladol

Mae angen i ni rannu gwybodaeth iechyd ar draws y pedair gwlad er mwyn sicrhau y gall eich cofnodion deithio gyda chi wrth i chi symud rhwng gwahanol rannau o'r DU ac i sicrhau ymateb cydlynol i fygythiadau diogelu iechyd. Efallai y bydd eich gwybodaeth hefyd yn cael ei rhannu â Sefydliad Iechyd y Byd a gwledydd eraill os byddwch yn profi'n bositif am glefyd hysbysadwy ac wedi teithio dramor yn ddiweddar. Byddwn ond yn gwneud hyn pan fo’r rhannu yn cael ei ragnodi gan y gyfraith.

Rhannu ag ymchwilwyr

Efallai y byddwn yn rhannu eich gwybodaeth bersonol ag ymchwilwyr prifysgol ac ymchwilwyr achrededig ffurfiol eraill sy'n destun goruchwyliaeth a rheolaeth annibynnol.

Byddwn ond yn rhannu eich gwybodaeth bersonol ag ymchwilwyr sydd wedi cael cymeradwyaeth gan bwyllgor moeseg feddygol ac sydd wedi cael naill ai eich cydsyniad neu gydsyniad arbennig gan Grŵp Cynghori Cyfrinachedd yr Awdurdod Ymchwil Iechyd i ddefnyddio eich gwybodaeth gyfrinachol. Gelwir hyn yn gymeradwyaeth 'adran 251' ac mae'n sicrhau bod trydydd parti annibynnol yn craffu ar ddefnyddio’r wybodaeth at y dibenion hyn.  Rydym hefyd yn ceisio cymeradwyaeth gan y Pwyllgor yn yr amgylchiadau cyfyngedig pan fo angen i ni ddefnyddio gwybodaeth gyfrinachol cleifion heb gydsyniad.

Rydym hefyd yn rhannu gwybodaeth iechyd ddienw gyda chronfa ddata SAIL.  Mae SAIL (Cyswllt Gwybodaeth Ddiogel Ddienw) yn dal dros 10 biliwn o gofnodion data dienw, sy'n seiliedig ar unigolyn. Mae hyn yn ei gwneud yn adnodd gwerthfawr i ymchwilwyr. Mantais unigryw'r ffordd y mae SAIL yn gweithio yw, er bod y cofnodion wedi'u gwneud yn ddienw yn SAIL, maent yn cael eu cysylltu â'i gilydd yn gyntaf gan drydydd parti dibynadwy sy'n darparu allwedd.  Mae cofnodion cysylltiedig yn llawer mwy gwerthfawr ar gyfer ymchwil, ond caiff hyn ei wneud mewn ffordd sy'n golygu na all yr ymchwilwyr adnabod unigolion.

Rhannu â Chontractwyr

Rydym hefyd yn rhannu eich data personol o bryd i'w gilydd â chontractwyr trydydd parti, yr ydym yn eu cyflogi i ymgymryd â rhai gweithgareddau prosesu ar ein rhan. Rydym yn gwneud hyn oherwydd ei bod yn aml yn fwy effeithlon a chost-effeithiol defnyddio contractwr ac rydym wedi barnu mai dyma'r gwerth gorau. Pan fyddwn yn cyflogi contractwr maent yn dod yn Brosesydd Data, ac yna maent yn rhwym i'r gyfraith yn yr un modd ag yr ydym ni ac felly maent yn ddarostyngedig i reolau llym ar brosesu. Gallant brosesu eich data personol dim ond yn y ffordd benodol a ddywedwn wrthynt a rhaid iddynt beidio â rhannu eich data personol â neb arall heb ein caniatâd penodol. Cyn cyflogi contractwr, rydym yn sicrhau bod ganddo fesurau priodol ar waith i ddiogelu eich data personol.

Gall rhai contractwyr brosesu eich data y tu allan i'r DU.  Mae’n well gennym fod eich data naill ai'n cael eu prosesu yn y DU neu o fewn awdurdodaeth sydd â phenderfyniad digonolrwydd yn y DU.  Mewn achosion eithriadol, pan nad yw hyn yn wir, byddwn yn sicrhau bod mesurau diogelwch priodol ar waith. 

 

Eich hawliau diogelu data

Mae Deddf Diogelu Data 2018 yn rhoi nifer o hawliau i chi sydd fel arfer yn rhad ac am ddim i'w harfer.

Beth yw'r hawliau hyn?

  • Hawl mynediad - yr hawl i ofyn am gopi o'r wybodaeth sydd gennym amdanoch chi. Gelwir hyn yn gais gwrthrych am wybodaeth.  
  • Hawl i gywiro - mae gennych hawl i ofyn i ni gywiro gwybodaeth bersonol sy'n anghywir yn eich barn chi. Mae gennych hawl hefyd i ofyn i ni gwblhau gwybodaeth sy’n anghyflawn yn eich barn chi. 
  • Hawl i ddileu – dim ond mewn amgylchiadau cyfyngedig y bydd yr hawl i ofyn am ddileu gwybodaeth yn berthnasol.   
  • Hawl i gyfyngu ar brosesu - yr hawl i ofyn i ni gyfyngu ar brosesu eich gwybodaeth bersonol mewn rhai amgylchiadau. 
  • Hawl i wrthwynebu prosesu - yr hawl i wrthwynebu prosesu eich gwybodaeth bersonol pan gaiff ei chasglu fel rhan o 'dasg gyhoeddus'.   
  • Bydd angen i chi esbonio eich rhesymau unigol os byddwch yn penderfynu arfer naill ai'r hawl i gyfyngu ar brosesu neu'r hawl i wrthwynebu.
  • Hawl i gludadwyedd data – yr hawl i gael eich data wedi’i drosglwyddo mewn fformat defnyddiadwy.
  • Hawl i gyfyngu ar brosesu awtomataidd - prosesu awtomataidd yw pan wneir penderfyniad sy’n cael effaith sylweddol arnoch chi, heb ymyrraeth ddynol yn y broses o wneud penderfyniadau.  Mae hyn yn gynyddol bwysig gyda'r defnydd o offer Deallusrwydd Artiffisial (AI).  Pan fydd hyn yn digwydd, mae gennych yr hawl i gael esboniad o resymeg y penderfyniad a gallwch ofyn i unigolyn go iawn wirio'r penderfyniad.

Bydd yr hawliau sy'n berthnasol yn dibynnu ar y sail gyfreithiol yr ydym yn dibynnu arni i brosesu'r data.

 

Cadw – Am ba hyd y byddwn yn cadw eich data

Mae egwyddorion diogelu data yn ei gwneud yn ofynnol na fydd data personol yn cael eu cadw mewn ffurf adnabyddadwy am gyfnod hwy nag sydd ei angen.

Rydym wedi cytuno ar gyfnodau cadw ar gyfer y mathau o ddata personol rydym yn eu prosesu. I raddau helaeth, mae'r rhain yn seiliedig ar God Ymarfer Rheoli Cofnodion Llywodraeth Cymru ar gyfer Iechyd a Gofal Cymdeithasol 2022 (Saesneg yn unig).


Diogelwch eich data personol

Mae Iechyd Cyhoeddus Cymru yn cydnabod bod eich data personol yn werthfawr iawn, ac felly rydym yn cymryd diogelwch data o ddifrif.

Rydym yn defnyddio mesurau technegol cadarn i ddiogelu eich data personol ac mae mynediad ato wedi’i gyfyngu i bobl sydd angen eu prosesu yn unol â’u gwaith.

Mae holl staff Iechyd Cyhoeddus Cymru wedi’u rhwymo gan gontractau sy’n cynnwys cyfrifoldebau clir mewn perthynas â chyfrinachedd. Mae gan ein holl staff anfeddygol yr un ddyletswydd cyfrinachedd â gweithwyr gofal iechyd proffesiynol megis Meddygon a Nyrsys.

Mae'n rhaid i'n holl staff gael hyfforddiant ar yr hyn a elwir gennym yn Llywodraethu Gwybodaeth. Ymhlith pethau eraill, mae'r hyfforddiant hwn yn gwneud iddynt ddeall pwysigrwydd cyfrinachedd a diogelwch eich data personol ac mae’n ei gwneud yn glir eu bod yn bersonol gyfrifol am ddiogelwch unrhyw wybodaeth y maent yn ei phrosesu. Rhaid iddynt wneud yr hyfforddiant hwn o leiaf unwaith bob dwy flynedd a rhaid iddynt basio prawf i ddangos eu bod wedi'i ddeall. Mae’r disgwyliadau sydd gennym ar ein staff wedi’u nodi yn y Polisi Llywodraethu Gwybodaeth. Mae methu â chydymffurfio â’r polisi hwn yn drosedd ddisgyblu.

Rydym yn archwilio mynediad at ddata personol yn rheolaidd i sicrhau eu bod yn cael eu prosesu’n briodol.

 

Y wefan hon

Mae cyfeiriadau IP yn cael eu defnyddio gan eich cyfrifiadur bob tro y byddwch wedi'ch cysylltu â'r Rhyngrwyd. Rhif a ddefnyddir gan gyfrifiaduron ar y rhwydwaith i adnabod eich cyfrifiadur yw eich cyfeiriad IP. Mae cyfeiriadau IP yn cael eu casglu'n awtomatig fel y gellir anfon data (megis y tudalennau gwe rydych chi'n gofyn amdanynt) atoch chi.

Rydym hefyd yn casglu gwybodaeth ystadegol ddienw am ddefnydd y wefan fel y gellir cynnal a gwella'r wefan.

 

Beth yw cwcis? 

Mae cwcis yn ffeiliau bach y mae gwefannau yn eu rhoi ar yriant disg caled eich cyfrifiadur pan fyddwch yn ymweld â nhw. Mae cwcis yn trosglwyddo gwybodaeth yn ôl i wefannau bob tro y byddwch chi'n ymweld â nhw. Fe'u defnyddir i adnabod porwyr gwe, olrhain tueddiadau defnyddwyr a storio gwybodaeth am ddewisiadau defnyddwyr. Gallwch gyfyngu/analluogi cwcis ar eich porwr. Fodd bynnag, efallai na fyddwch yn gallu manteisio'n llawn ar holl nodweddion ein gwefan heb gwcis.

Sut i analluogi cwcis 

I newid eich gosodiadau cwcis:

Microsoft Edge: Cyfarwyddiadau ar sut i analluogi cwcis.

Firefox: Cyfarwyddiadau ar sut i analluogi cwcis.

Chrome: Cyfarwyddiadau ar sut i analluogi cwcis.

Cyswllt

Os oes gennych ymholiadau am yr hysbysiad hwn, neu brosesu eich data personol neu os hoffech arfer unrhyw un o'ch hawliau diogelu data, dylech gysylltu â mi yn unol â'r manylion isod.

Sylwch efallai na fydd negeseuon i'r cyfeiriad hwn yn cael ei agor gennyf i ac felly nid yw'n briodol ar gyfer cyfathrebiadau cyfrinachol. Os oes gennych fater y mae angen i chi ei drafod yn bersonol gyda mi yn gyfrinachol, cysylltwch â mi yn y lle cyntaf dros y ffôn.

John Lawson MSc CIPP/E FIP 
Y Swyddog Diogelu Data
Ymddiriedolaeth GIG Iechyd Cyhoeddus Cymru
Rhif 2 Capital Quarter
Stryd Tyndall
Caerdydd
CF10 4BZ
Ffôn: 029 2010 4307
E-bost: ICC.LlywodraethuGwybodaeth@wales.nhs.uk