Privacy Notice For Constituents
What’s included in this privacy notice?
I, Rebecca Evans MS, am an Assembly Member for the Gower constituency.
This document (“privacy notice”) sets out information relating to how I will use personal information relating to constituents. It also sets out information about what rights individuals have in relation to their personal information and various other matters required under data protection law.
In particular, this privacy notice provides information to constituents about how they can object to my use of their personal information, how they can withdraw any permissions they have given to enable me to process their personal information, and how they can make a complaint.
Who does this privacy notice apply to?
This privacy notice applies to constituents.
One of my key roles as an Assembly Member is to raise issues on behalf of constituents. As such I will often collect and use personal information relating to constituents as part of my role. From time to time I will also contact my constituents to ask them to complete surveys to gather information and opinions on matters relevant to my role as an Assembly Member.
In the sections below, when referring to constituents I will use the terms “you” or “your”.
What’s MY approach to privacy?
I take your privacy extremely seriously and want you to feel confident that your personal information is safe in my hands.
I will only use your personal information in accordance with the data protection law applicable to England and Wales from time to time.
Under data protection law, when I use your personal information, I will be acting as a data controller. Essentially, this means that I will be making decisions about how to use your personal information and why.
Below, I summarise the main rules that apply to me as a data controller under data protection law when I use your personal information:
1. I must be upfront about how I intend to use your personal information and must use your personal information fairly. Providing privacy information to individuals (such as in this privacy notice) is one aspect of using personal information fairly
2. I must only use your personal information if I have a legal basis to do so under data protection law. These legal bases include:
· That you have consented to my use of your personal information;
· That my use of your personal information is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in me. This is generally because the processing of your personal data by me will be in performance of casework activities which by their nature supports or promotes democratic engagement
3. I must only use certain types of sensitive personal information, also referred to as special category personal information (such as information relating to your health, racial or ethnic origin, political opinions, or criminal convictions) if I can also satisfy one of the conditions for processing this type of information set out in data protection law. These conditions include:
· That you have given me your explicit consent to use the information; and
· That the processing is necessary for reasons of substantial public interest.
4. I am only permitted to share your personal information with others in certain circumstances and if I take steps to ensure that your personal information will be secure
5. Generally speaking, I must only use your personal information for the specific purposes I have told you about. If I want to use your personal information for other purposes, I need to contact you again to tell you about this
6. I must not hold more personal information than I need for the purposes I have told you about and must not retain your personal information for longer than is necessary for those purposes (this is known as the “retention period”). I must also dispose of any information that I no longer need securely
7. I must ensure that appropriate security measures are in place to protect your personal information
8. I must act in accordance with your rights under data protection law
9. I must not transfer your personal information outside the European Economic Area (“EEA”) unless certain safeguards are in place. One such safeguard is that the personal data is only transferred to a country that has been approved by the European Commission as having an acceptable level of data protection law
How will I use your personal information?
How I will use your personal information, the legal bases I will rely upon, how long I will keep your personal information and other details are set out below.
CASEWORK
What personal information I will use:
· Your name;
· Your address;
· Your contact details (email address, telephone number etc.);
· Information provided about you when raising an issue or a concern with me. This information may include special category personal information such as your:
o racial or ethnic origins
o political opinions
o religious or philosophical beliefs
o membership of a trade union
o physical or mental health (including details of any disability)
o sexual orientation
o details of any known disability
o commission or alleged commission of any offence
How I will obtain the personal information:
Provided by you when you contact me with an enquiry or concern or by a third party where the enquiry or concern is raised on your behalf.
What purposes I will use the personal information for
I will use your name, address and other contact details to communicate with you about the issue or concern raised and to provide you with updates and feedback;
I will use your personal information to progress your issue or concern and to take steps to address the matter.
The legal bases for processing I rely upon
My use of your personal information in connection with the purposes set out above is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in me. This is generally because the processing of your personal data by me will be in performance of casework activities which by their nature support or promote democratic engagement;
Where your issue or concern is one which involves the processing of special category data, my use of your special category personal data will be necessary for reasons of substantial public interest. This is because the processing is carried out by me in my capacity as an elected representative, in connection with the discharge of my functions and is in response to a request by you to take action or a request on your behalf.
How long I retain the personal information and why
I will retain your personal information until your case is closed and for a further 2 year period, this is my longstanding office policy and is deemed good data protection practice
WHEN WILL I SHARE YOUR PERSONAL INFORMATION WITH OTHERS?
Sometimes, I will need to share your personal information with others. This section sets out details of who I will share your personal information with and why. It also tells you about my legal basis for doing so under data protection law and steps I will take to protect your personal information.
THE ASSEMBLY COMMISSION
Information about our relationship with the Assembly Commission
The Assembly Commission is the independent body which, amongst other things, supports Assembly Members in their work.
Why I need to share your personal information with staff of the Assembly Commission
To obtain advice and assistance in dealing with your issue or concern.
The legal basis I rely upon when sharing your personal information
Sharing of personal data with staff at the Assembly Commission in order to assist with your case will be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in me. This is generally because the processing of your personal data by me will be in performance of casework activities which by their nature supports or promotes democratic engagement.
What precautions do I take?
Staff at the Assembly Commission have undertaken data protection training and are aware of the importance of protecting personal data. The Assembly Commission has in place appropriate policies and security measures to protect your personal information.
OTHER ORGANISATIONS WHO CAN ASSIST WITH YOUR CASE
Who are these Organisations?
We will share such of your personal information as is necessary with organisations who can assist with your case. Often these will be organisations such as local authorities and health boards which will, from time to time, depending on the nature of your query or concern, be able to assist with your case or will have information relevant to your case.
Why I need to share your personal information with them
To assist with your case or to obtain information relevant to your case.
The legal bases I rely upon when sharing your personal information
Sharing of personal data with such organisations will be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in me. This is generally because the processing of your personal data by me will be in performance of casework activities which by their nature supports or promotes democratic engagement.
What precautions do I take?
I will only share personal data as is necessary and will take steps to determine that the organisations are aware of the importance of protecting personal data.
PROVIDERS OF INFORMATION TECHNOLOGY SERVICES
Who will we be sharing your personal information with?
Suppliers of information technology products and services such as:
The Assembly Commission’s ICT infrastructure, which includes cloud services provided by Microsoft.
Why I need to share your personal information with such providers
I use suppliers of information technology products and services in connection with the supply, maintenance and/or improvement of my IT network, to manage casework effectively through appropriate software provision, and the creation, development hosting and maintenance of my website.
The legal bases I rely upon when sharing your personal information
I rely upon my legitimate interests in ensuring that my work as an Assembly Member is managed efficiently and my IT system can function properly and efficiently and that my IT network is secure.
What precautions do we take?
I enter into contracts with my IT providers which require them to put appropriate security measures in place and which restrict their use of your personal information.
OTHER THIRD PARTIES
I may also need to share your personal information with others in the following circumstances:
Legal or regulatory requirements
On occasion, I may be required to disclose your personal information to organisations such as the courts or the police to comply with legal obligations we are subject to and/or to prevent fraud or crime.
Safeguarding
On occasion, I may need to disclose your personal information to other organisations such as the local authority or the police for safeguarding purposes in the substantial public interest.
Professional advice and legal action
I may need to disclose your personal information to my professional advisers (for example, lawyers and accountants) in connection with the provision by them of professional advice and/or the establishment or defence of legal claims.
CIRCUMSTANCES IN WHICH I WILL SEND YOUR PERSONAL INFORMATION OUTSIDE THE EEA
Other than the cloud service provided by Microsoft, I do not envisage a need to send your personal data outside the EEA. As far as Microsoft is concerned Microsoft has put a written contract in place incorporating EC model clauses relating to the transfer of personal data outside the EEA which provide safeguards to protect your personal data.
If it becomes necessary in any other circumstance to transfer your personal data outside the EEA I will let you know but rest assured that if I do need to transfer your personal data outside the EEA, I will use one of these safeguards to make sure it is protected:
· I will only transfer it to a non-EEA country which the European Commission has decided has an adequate level of protection for personal data. You can find more about such countries here https://ec.europa.eu/info/law/law-topic/data- protection_en]; or
· I will put a written contract in place between me and the recipient that incorporates EC model clauses relating to the transfer of personal data outside the EEA
· I will obtain your explicit consent to do so.
WHAT RIGHTS DO YOU HAVE UNDER DATA PROTECTION LAW?
Under data protection law, you have a number of different rights relating to the use of your personal information. The information below contains a summary of those rights and my obligations. More information about your rights and my obligations can be found on the ICO website https://ico.org.uk/.
A right of access
This is a right to obtain access to your personal data and various supplementary information.
I must provide you with a copy or your personal information and the other supplementary information without undue delay and in any event within 1 month of receipt of your request;
I must provide you with a copy or your personal information and the other supplementary information without undue delay and in any event within 1 month of receipt of your request;
I cannot charge you for doing so save in specific circumstances (such as where you request further copies of your personal information).
A right to have personal data rectified
This is a right to have your personal information rectified if it is inaccurate or incomplete.
I must rectify any inaccurate or incomplete information without undue delay and in any event within 1 month of receipt of your request;
If I have disclosed your personal information to others, I must (subject to certain exceptions) contact the recipients to inform them, that your personal information requires rectification.
A right to erasure
This is a right to have your personal information deleted or removed. This right only applies in certain circumstances (such as where I no longer need the personal information for the purposes for which it was collected). I have the right to refuse to delete or remove your personal data in certain circumstances.
If this right applies, I must delete or remove your personal information without undue delay and in any event within 1 month of receipt of your request;
If I have disclosed your personal information to others, we must (subject to certain exceptions) contact then recipients to inform them that your personal information must be erased.
A right to object
This is a right to object to the use of your personal information. The right applies in certain specific circumstances only. You can use this right to challenge my use of your personal information based on my legitimate interests or where the processing is necessary for the performance of a task in the public interest or in the exercise of official authority vested in me;
You can also use this right to object to use of your personal information for direct marketing.
If you object to me using your personal information for direct marketing, I must stop using your personal information in this way as soon as I receive your request. If you object to other uses of your personal information, whether I have to stop using your personal information will depend on the particular circumstances.
A right to restrict processing
This is a right to ‘block’ or suppress processing of your personal information. This right applies in various circumstances, including where you contest the accuracy of your information).
If I am required to restrict my processing of your personal information I will be able to store it but not otherwise use it. I may only retain enough information about you to ensure that the restriction is respected in future. If I have disclosed your personal information to others, I must (subject to certain exceptions) contact them to tell them about the restriction on use.
If you wish to exercise any of your rights, you can make a request by contacting me using the details set out in the section below titled – “How can you get in touch with me?”
If you request the exercise of any of your rights I am entitled to ask you to provide me with any information that may be necessary to confirm your identity.
Your right to withdraw consent
If you have given me your consent to use any of your personal information, you can withdraw your consent at any time. To do so, please contact me using the details set out in the section below titled – “How can you get in touch with me?”
How can you get in touch with ME?
You can get in touch with me in the following ways:
Write: 9 Pontardulais Road, Gorseinon, SA4 4FE
Telephone: 01792 899 081
E-mail: [email protected]
I am the person overseeing compliance with data protection law and this privacy notice. If you have any questions about this privacy notice, how your personal information is handled or if you wish to make a complaint, please contact me.
RIGHT TO COMPLAIN TO THE INFORMATION COMMISSIONER'S OFFICE
If I am unable to deal with a complaint to your satisfaction or if you are unhappy with the way I am using your personal data, you also have the right to make a complaint at any time to the UK’s supervisory authority for data protection issues, the Information Commissioner’s Office.
CHANGES TO THIS PRIVACY NOTICE
I may update this privacy notice from time to time. If I make any substantial updates, I will provide you with a new privacy notice. I may also notify you in other ways from time to time about the processing of your personal information.
Hysbysiad Preifatrwydd i Etholwyr
Hysbysiad preifatrwydd i etholwyrbeth sydd wedi'i gynnwys yn yr hysbysiad preifatrwydd hwn?
Yr wyf i, Rebecca Evans AC, yn Aelod Cynulliad dros Gŵyr.
Mae'r ddogfen hon (“hysbysiad preifatrwydd”) yn nodi gwybodaeth sy'n ymwneud â sut y byddaf yn defnyddio gwybodaeth bersonol sy'n ymwneud ag etholwyr. Mae hefyd yn nodi gwybodaeth am yr hawliau sydd gan unigolion mewn perthynas â'u gwybodaeth bersonol a materion amrywiol eraill sy'n ofynnol o dan y gyfraith diogelu data.
Yn benodol, mae'r hysbysiad preifatrwydd hwn yn rhoi gwybodaeth i etholwyr am sut y gallant wrthwynebu sut yr wyf yn defnyddio eu gwybodaeth bersonol, sut y gallant dynnu'n ôl unrhyw ganiatâd a roddwyd ganddynt i'm galluogi i brosesu eu gwybodaeth bersonol, a sut y gallant wneud cwyn.
I bwy mae'r hysbysiad preifatrwydd hwn yn gymwys?
Mae'r hysbysiad preifatrwydd hwn yn gymwys i etholwyr.
Un o'm rolau allweddol, fel Aelod Cynulliad, yw codi materion ar ran etholwyr. Fel y cyfryw, fel rhan o'm rôl, byddaf yn aml yn casglu ac yn defnyddio gwybodaeth bersonol sy'n ymwneud ag etholwyr. O bryd i'w gilydd, byddaf hefyd yn cysylltu â'm hetholwyr i ofyn iddynt lenwi arolygon er mwyn casglu gwybodaeth a barn am faterion sy'n berthnasol i'm rôl fel Aelod Cynulliad.
Yn yr adrannau isod, wrth gyfeirio at etholwyr, byddaf yn defnyddio'r termau “chi” neu “eich”.
Beth yw FY null o ymdrin â phreifatrwydd?
Mae eich preifatrwydd yn hynod bwysig i mi ac rwyf am i chi deimlo'n hyderus bod eich gwybodaeth bersonol yn ddiogel yn fy nwylo i.
Dim ond yn ôl y gyfraith diogelu data sy'n gymwys i Gymru a Lloegr y byddaf yn defnyddio eich gwybodaeth bersonol o bryd i'w gilydd.
O dan y gyfraith diogelu data, pan ddefnyddiaf eich gwybodaeth bersonol, byddaf yn gweithredu fel rheolwr data. Yn y bôn, mae hyn yn golygu y byddaf yn gwneud penderfyniadau ynghylch sut i ddefnyddio eich gwybodaeth bersonol a pham.
Isod, rhof grynodeb o’r prif reolau sy'n gymwys i mi fel rheolwr data o dan y gyfraith diogelu data pan ddefnyddiaf eich gwybodaeth bersonol.
1. Rhaid i mi fod yn onest ynglŷn â sut rwy'n bwriadu defnyddio eich gwybodaeth bersonol a rhaid i mi ddefnyddio eich gwybodaeth bersonol yn deg. Mae rhoi gwybodaeth am breifatrwydd i unigolion (fel yn yr hysbysiad preifatrwydd hwn) yn un agwedd ar ddefnyddio gwybodaeth bersonol yn deg.
2. Rhaid i mi ddefnyddio eich gwybodaeth bersonol dim ond os oes gennyf sail gyfreithiol dros wneud hynny o dan gyfraith diogelu data. Mae'r seiliau cyfreithiol hyn yn cynnwys:
· Eich bod wedi rhoi cydsyniad i mi ddefnyddio eich gwybodaeth bersonol;
· Bod fy nefnydd o'ch gwybodaeth bersonol yn angenrheidiol er mwyn ymgymryd â thasg er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i mi. Yn gyffredinol, y rheswm dros hyn yw y caiff eich data personol eu prosesu gennyf wrth ymgymryd â gweithgarwch gwaith achos sydd, oherwydd ei natur, yn cefnogi neu'n hyrwyddo ymgysylltiad democrataidd.
3. Rhaid i mi ddefnyddio mathau penodol o wybodaeth bersonol sensitif, y cyfeirir ati hefyd fel gwybodaeth bersonol categori arbennig (megis gwybodaeth sy'n ymwneud â'ch iechyd, eich tarddiad hiliol neu ethnig, eich barn wleidyddol, neu eich collfarnau troseddol) dim ond os gallaf hefyd fodloni un o'r amodau ar gyfer prosesu'r math hwn o wybodaeth a nodir yn y gyfraith diogelu data. Mae'r amodau hyn yn cynnwys:
· Eich bod wedi rhoi eich cydsyniad penodol i mi ddefnyddio'r wybodaeth; a
· Bod angen prosesu'r wybodaeth oherwydd mater er budd sylweddol y cyhoedd.
4. Dim ond mewn rhai amgylchiadau y caniateir i mi rannu eich gwybodaeth bersonol ag eraill ac ar yr amod fy mod yn cymryd camau i sicrhau y bydd eich gwybodaeth bersonol yn ddiogel.
5. Yn gyffredinol, mae'n rhaid i mi ddefnyddio eich gwybodaeth bersonol dim ond at y dibenion penodol yr wyf wedi dweud wrthych amdanynt. Os wyf am ddefnyddio eich gwybodaeth bersonol at ddibenion eraill, mae angen i mi gysylltu â chi eto i ddweud wrthych am hyn.
6. Rhaid i mi beidio â chadw mwy o wybodaeth bersonol nag sydd ei hangen arnaf at y dibenion yr wyf wedi dweud wrthych amdanynt a rhaid i mi beidio â chadw eich gwybodaeth bersonol yn hwy nag sy'n angenrheidiol at y dibenion hynny (gelwir hyn yn “gyfnod cadw”). Rhaid i mi hefyd gael gwared ar unrhyw wybodaeth nad oes arnaf ei hangen mwyach yn ddiogel.
7. Rhaid i mi sicrhau bod mesurau diogelwch priodol ar waith i ddiogelu eich gwybodaeth bersonol.
8. Rhaid i mi weithredu'n unol â'ch hawliau o dan y gyfraith diogelu data.
9. Rhaid i mi beidio â throsglwyddo eich gwybodaeth bersonol y tu allan i'r Ardal Economaidd Ewropeaidd (“AEE”) oni bai bod mesurau diogelu penodol ar waith. Un o'r fath fesurau diogelu yw bod y data personol yn cael eu trosglwyddo dim ond i wlad sydd wedi'i chymeradwyo gan y Comisiwn Ewropeaidd bod ganddi lefel dderbyniol o gyfraith diogelu data.
Sut y byddaf yn defnyddio eich gwybodaeth bersonol?
Nodir isod sut y byddaf yn defnyddio eich gwybodaeth bersonol, y seiliau cyfreithiol y byddaf yn dibynnu arnynt, pa mor hir y byddaf yn cadw eich gwybodaeth bersonol a manylion eraill.
GWAITH ACHOS
Pa wybodaeth bersonol y byddaf yn ei defnyddio:
· Eich enw;
· Eich cyfeiriad;
· Eich manylion cyswllt (cyfeiriad e-bost, rhif ffôn ac ati);
· Gwybodaeth a roddwyd amdanoch wrth godi mater neu bryder gyda mi. Gall y wybodaeth hon gynnwys gwybodaeth bersonol categori arbennig fel eich:
o tarddiad hiliol neu ethnig;
o barn wleidyddol;
o credoau crefyddol neu athronyddol;
o aelodaeth o undeb llafur;
o iechyd corfforol neu feddyliol (gan gynnwys manylion am unrhyw anabledd)
o Cyfeiriadedd rhywiol
o manylion am unrhyw anabledd hysbys
o comisiynu neu achos honedig o gomisiynu trosedd
Sut y byddaf yn cael y wybodaeth bersonol
Caiff ei rhoi gennych pan fyddwch yn cysylltu â mi gydag ymholiad neu bryder neu gan drydydd parti pan godir yr ymholiad neu'r pryder ar eich rhan.
At ba ddibenion y byddaf yn defnyddio'r wybodaeth bersonol
Byddaf yn defnyddio eich enw, eich cyfeiriad a'ch manylion cyswllt eraill i gyfathrebu â chi ynghylch y mater neu'r pryder a godwyd ac i roi'r wybodaeth ddiweddaraf ac adborth i chi;
Byddaf yn defnyddio eich gwybodaeth bersonol i symud eich mater neu eich pryder yn ei flaen a chymryd camau i fynd i'r afael ag ef.
Y seiliau cyfreithiol ar gyfer prosesu gwybodaeth rwy'n dibynnu arnynt
Mae fy nefnydd o'ch gwybodaeth bersonol mewn cysylltiad â'r dibenion a nodwyd uchod yn angenrheidiol er mwyn ymgymryd â thasg er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i mi. Yn gyffredinol, y rheswm dros hyn yw y caiff eich data personol eu prosesu gennyf wrth ymgymryd â gweithgarwch gwaith achos sydd, oherwydd ei natur, yn cefnogi neu'n hyrwyddo ymgysylltiad democrataidd;
Lle mae eich mater neu eich pryder yn un sy'n cynnwys prosesu data categori arbennig, bydd angen i mi ddefnyddio eich data personol categori arbennig am resymau er budd sylweddol y cyhoedd. Y rheswm dros hyn yw bod y gwaith prosesu’n cael ei wneud gennyf yn fy swydd fel cynrychiolydd etholedig, mewn cysylltiad ag ymgymryd â'm swyddogaethau ac mae'n ymateb i gais gennych i weithredu neu gais ar eich rhan.
Am ba hyd y byddaf yn cadw'r wybodaeth bersonol a pham y byddaf yn ei chadw
Byddaf yn cadw eich gwybodaeth bersonol nes i'ch achos gael ei gau ac am gyfnod arall o 2 o flynyddoedd, achos hyn yw polisi fy swyddfa a ymarfer gorau.
Pryd y byddaf yn rhannu EICH GWYBODAETH BERSONOL ag ERAILL?
Weithiau, bydd angen i mi rannu eich gwybodaeth bersonol ag eraill. Mae'r adran hon yn nodi manylion â phwy y byddaf yn rhannu eich gwybodaeth bersonol a pham. Mae hefyd yn dweud wrthych am fy sail gyfreithiol dros wneud hynny o dan y gyfraith diogelu data a chamau y byddaf yn eu cymryd i ddiogelu eich gwybodaeth bersonol.
COMISIWN Y CYNULLIAD
Gwybodaeth am ein perthynas â Chomisiwn y Cynulliad
Comisiwn y Cynulliad yw'r corff annibynnol sydd, ymhlith pethau eraill, yn cefnogi Aelodau'r Cynulliad yn eu gwaith.
Pam y bydd angen i mi rannu eich gwybodaeth bersonol â staff Comisiwn y Cynulliad
I gael cyngor a chymorth wrth ymdrin â'ch mater neu eich pryder.
Y sail gyfreithiol rwy'n dibynnu arni wrth rannu eich gwybodaeth bersonol
Bydd rhannu data personol â staff Comisiwn y Cynulliad er mwyn eu helpu gyda'ch achos yn angenrheidiol er mwyn ymgymryd â thasg er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i mi. Yn gyffredinol, y rheswm dros hyn yw y caiff eich data personol eu prosesu gennyf wrth ymgymryd â gweithgarwch gwaith achos sydd, oherwydd ei natur, yn cefnogi neu'n hyrwyddo ymgysylltiad democrataidd.
Pa ragofalon rwy'n eu cymryd?
Mae staff Comisiwn y Cynulliad wedi ymgymryd â hyfforddiant diogelu data ac maent yn ymwybodol o bwysigrwydd diogelu data personol. Mae gan Gomisiwn y Cynulliad bolisïau a mesurau diogelu priodol ar waith i ddiogelu eich gwybodaeth bersonol.
SEFYDLIADAU ERAILL A ALL HELPU GYDA'CH ACHOS
Pwy yw'r sefydliadau hyn?
Byddwn yn rhannu eich gwybodaeth bersonol yn ôl yr angen â sefydliadau a all eich helpu gyda'ch achos. Yn aml, bydd y rhain yn sefydliadau megis awdurdodau lleol a byrddau iechyd a fydd, o bryd i'w gilydd, gan ddibynnu ar natur eich ymholiad neu eich pryder, yn gallu helpu gyda'ch achos neu bydd ganddynt wybodaeth sy'n berthnasol i'ch achos.
Pam y mae angen i mi rannu eich gwybodaeth bersonol â hwy
I helpu gyda'ch achos neu i gael gwybodaeth sy'n berthnasol i'ch achos.
Y seiliau cyfreithiol rwy'n dibynnu arnynt wrth rannu eich gwybodaeth bersonol
Bydd angen rhannu data personol â'r fath sefydliadau'n er mwyn ymgymryd â thasg er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i mi. Yn gyffredinol, y rheswm dros hyn yw y caiff eich data personol eu prosesu gennyf wrth ymgymryd â gweithgarwch gwaith achos sydd, oherwydd ei natur, yn cefnogi neu'n hyrwyddo ymgysylltiad democrataidd.
Pa ragofalon rwy'n eu cymryd?
Dim ond yn ôl yr angen y byddaf yn rhannu data personol a byddaf yn cymryd camau i wneud y sefydliadau'n ymwybodol o bwysigrwydd diogelu data personol.
DARPARWYR GWASANAETHAU TECHNOLEG GWYBODAETH
 phwy y byddaf yn rhannu eich gwybodaeth bersonol?
Cyflenwyr cynhyrchion a gwasanaethau technoleg gwybodaeth megis:
Seilwaith TGCh Comisiwn y Cynulliad, sy'n cynnwys gwasanaethau cwmwl trydydd parti a ddarperir gan Microsoft.
Pam mae angen i mi rannu eich gwybodaeth bersonol ddarparwyr o’r fath
Rwy'n defnyddio cyflenwyr cynhyrchion a gwasanaethau technoleg gwybodaeth mewn cysylltiad â chyflenwi, cynnal a chadw a/neu wella fy rhwydwaith TG, er mwyn rheoli gwaith achos yn effeithiol trwy ddarparu meddalwedd briodol, a chreu, datblygu a chynnal a chadw fy ngwefan.
Y seiliau cyfreithiol rwy'n dibynnu arnynt wrth rannu eich gwybodaeth bersonol
Rwy'n dibynnu ar fy muddiannau cyfreithlon wrth sicrhau bod fy ngwaith fel Aelod Cynulliad yn cael ei reoli'n effeithlon, y gall fy system TG weithredu'n briodol ac yn effeithlon, a bod fy rhwydwaith TG yn ddiogel.
Pa ragofalon ydym yn eu cymryd?
Rwy'n ymrwymo i gontractau gyda'm darparwyr TG sy'n ei gwneud yn ofynnol iddynt roi mesurau diogelwch priodol ar waith ac sy'n cyfyngu ar eu defnydd o'ch gwybodaeth bersonol.
TRYDYDD PARTÏON ERAILL
Hefyd, gall fod angen i mi rannu eich gwybodaeth bersonol ag eraill yn yr amgylchiadau a ganlyn:
Gofynion cyfreithiol neu reoleiddiol
Weithiau, gall fod angen i mi ddatgelu eich gwybodaeth bersonol i sefydliadau megis y llysoedd neu'r heddlu er mwyn cydymffurfio â rhwymedigaethau cyfreithiol rydym yn ddarostyngedig iddynt a/neu er mwyn atal twyll neu drosedd.
Diogelu
Ambell waith, gall fod angen i mi ddatgelu eich gwybodaeth bersonol i sefydliadau eraill, megis yr awdurdod lleol neu'r heddlu, at ddibenion diogelu er budd sylweddol y cyhoedd.
Cyngor proffesiynol a chamau cyfreithiol
Gall fod angen i mi ddatgelu eich gwybodaeth bersonol i'm cynghorwyr proffesiynol (er enghraifft, cyfreithwyr a chyfrifwyr) mewn cysylltiad â'r cyngor proffesiynol a ddarperir ganddynt a/neu gadarnhau neu amddiffyn hawliadau cyfreithiol.
Ym mha amgylchiadau y byddaf yn anfon eich gwybodaeth bersonol y tu allan i'r AEE
Heblaw am y gwasanaeth cwmwl a ddarperir gan Microsoft, nid wyf yn rhagweld y bydd angen anfon eich data personol y tu allan i'r AEE. O ran Microsoft, mae Microsoft wedi rhoi contract ysgrifenedig ar waith sy'n ymgorffori cymalau model y Comisiwn Ewropeaidd sy'n ymwneud â throsglwyddo data personol y tu allan i'r AEE sy'n darparu mesurau diogelu er mwyn diogelu eich data personol.
Os bydd angen trosglwyddo eich data personol y tu allan i'r AEE mewn amgylchiadau eraill, byddaf yn rhoi gwybod i chi. Fodd bynnag, gallwch fod yn sicr, os bydd angen i mi drosglwyddo eich data personol y tu allan i'r AEE, y byddaf yn defnyddio un o'r mesurau diogelu hyn er mwyn sicrhau eu bod yn cael eu diogelu:
· Byddaf yn eu trosglwyddo i wlad nad yw'n aelod o'r AEE dim ond os yw'r Comisiwn Ewropeaidd wedi penderfynu bod g ganddi lefel ddigonol o ddiogelwch ar gyfer data personol. Gallwch ddod o hyd i ragor o wybodaeth am wledydd o’r fath yma https://ec.europa.eu/info/law/law-topic/data-protection_en
· Byddaf yn rhoi contract ysgrifenedig ar waith rhyngof i a'r derbynnydd sy'n ymgorffori cymalau model y Comisiwn Ewropeaidd sy'n ymwneud â throsglwyddo data personol y tu allan i'r AEE
· Byddaf yn cael eich caniatâd penodol i wneud hynny.
PA HAWLIAU SYDD GENNYCH O DAN Y GYFRAITH DIOGELU DATA?
O dan y gyfraith diogelu data, mae gennych nifer o hawliau gwahanol sy'n ymwneud â defnyddio'ch gwybodaeth bersonol. Mae'r tabl isod yn cynnwys crynodeb o'r hawliau hynny a'm rhwymedigaethau. Mae rhagor o wybodaeth am eich hawliau a'm rhwymedigaethau i'w gweld ar wefan yr ICO https://ico.org.uk/
Hawl mynediad
Dyma hawl i gael mynediad at eich data personol a'ch gwybodaeth atodol amrywiol.
Rhaid i mi roi copi i chi o'ch gwybodaeth bersonol a'r wybodaeth atodol arall heb ormod o oedi ac o fewn mis i'ch cais ddod i law beth bynnag;
Ni chaf godi tāl arnoch am wneud hynny, ac eithrio mewn amgylchiadau penodol (megis lle rydych yn gofyn am ragor o gopïau o'ch gwybodaeth bersonol).
Hawl i drefnu i ddata personol gael eu cywiro
Dyma hawl i drefnu i'ch gwybodaeth bersonol gael ei chywiro os yw'n anghywir neu'n anghyflawn.
Rhaid i mi gywiro unrhyw wybodaeth anghywir neu anghyflawn heb ormod o oedi ac o fewn mis i'ch cais ddod i law beth bynnag;
Os wyf wedi datgelu eich gwybodaeth bersonol i eraill, rhaid i mi (yn ddarostyngedig i rai eithriadau) gysylltu â'r derbynwyr i roi gwybod iddynt fod angen cywiro eich gwybodaeth bersonol.
Hawl i ddileu
Dyma hawl i drefnu i'ch gwybodaeth bersonol gael ei dileu neu ei thynnu'n ôl.
Mae'r hawl hon yn gymwys mewn amgylchiadau penodol yn unig (megis lle nad oes arnaf angen y wybodaeth bersonol mwyach at y dibenion y cafodd ei chasglu).
Mae gennyf yr hawl i wrthod dileu neu dynnu'n ôl eich data personol mewn amgylchiadau penodol.
Os yw'r hawl hon yn gymwys, rhaid i mi ddileu neu dynnu'n ôl eich gwybodaeth bersonol heb ormod o oedi ac o fewn mis i'ch cais ddod i law beth bynnag;
Os wyf wedi datgelu eich gwybodaeth bersonol i eraill, rhaid i ni (yn ddarostyngedig i rai eithriadau) gysylltu â'r derbynwyr i roi gwybod iddynt fod rhaid dileu eich gwybodaeth bersonol.
Hawl i wrthwynebu
Dyma hawl i wrthwynebu'r defnydd o'ch gwybodaeth bersonol.
Mae'r hawl yn gymwys mewn rhai amgylchiadau penodol yn unig.
Cewch ddefnyddio'r hawl hon i herio fy nefnydd o'ch gwybodaeth bersonol ar sail fy muddiannau cyfreithlon neu lle mae angen prosesu'r wybodaeth er mwyn ymgymryd â thasg er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i mi;
Gallwch hefyd ddefnyddio'r hawl hon i wrthwynebu'r defnydd o'ch gwybodaeth bersonol ar gyfer gwaith marchnata uniongyrchol
Os ydych yn gwrthwynebu i mi ddefnyddio eich gwybodaeth bersonol ar gyfer gwaith marchnata uniongyrchol, rhaid i mi beidio â defnyddio eich gwybodaeth bersonol yn y modd hwn cyn gynted ag y caf eich cais.
Os ydych yn gwrthwynebu defnyddiau eraill o'ch gwybodaeth bersonol, yr amgylchiadau penodol fydd yn penderfynu a fydd yn rhaid i mi beidio â defnyddio eich gwybodaeth bersonol.
Hawl i gyfyngu ar brosesu gwybodaeth
Dyma hawl i 'atal' neu osgoi prosesu eich gwybodaeth bersonol.
Mae'r hawl hon yn gymwys mewn amgylchiadau amrywiol, gan gynnwys lle rydych yn anghytuno â chywirdeb eich gwybodaeth).
Os bydd yn rhaid i mi gyfyngu ar eich gwybodaeth bersonol a gaiff ei phrosesu gennyf, caf ei storio ond ni chaf ei defnyddio fel arall.
Caf gadw rhywfaint o wybodaeth amdanoch dim ond er mwyn sicrhau y caiff y cyfyngiad ei barchu yn y dyfodol.
Os wyf wedi datgelu eich gwybodaeth bersonol i eraill, rhaid i mi (yn ddarostyngedig i rai eithriadau) gysylltu â hwy i roi gwybod iddynt am y cyfyngiad ar ei defnyddio.
Eich hawl i dynnu eich caniatâd yn ôl;
Os ydych wedi rhoi'ch caniatâd i mi ddefnyddio unrhyw wybodaeth bersonol, cewch dynnu eich caniatâd yn ôl ar unrhyw adeg. Er mwyn gwneud hynny, cysylltwch â mi gan ddefnyddio'r manylion a nodir yn yr adran isod o'r enw – “Sut y gallwch gysylltu â mi?”
Sut y gallwch gysylltu â mi?
Ysgrifennu: 9 Heol Pontarddulais, Gorseinon, SA4 4FE
Phonio: 01792 899 081
E-bost: [email protected]
Os ydych yn gwneud cais i arfer unrhyw un o'ch hawliau, mae gennyf hawl i ofyn i chi roi unrhyw wybodaeth y gall fod ei hangen er mwyn i mi gadarnhau pwy ydych.
Fi yw'r sawl sy'n goruchwylio cydymffurfiaeth â’r gyfraith diogelu data a'r hysbysiad preifatrwydd hwn. Os oes gennych gwestiynau am yr hysbysiad preifatrwydd hwn, sut y caiff eich gwybodaeth bersonol ei thrin neu os ydych am wneud cwyn, mae croeso i chi gysylltu â mi.
HAWL I GWYNO I SWYDDFA'R COMISIYNYDD GWYBODAETH
Os nad ydych yn fodlon ar y ffordd rwy’n gallu ymdrin â’ch cwyn neu os nad ydych yn fodlon ar y ffordd rwy'n defnyddio eich data personol, mae gennych yr hawl hefyd i wneud cwyn ar unrhyw adeg i awdurdod goruchwylio'r DU ar gyfer materion diogelu data, sef Swyddfa'r Comisiynydd Gwybodaeth.
NEWIDIADAU I'R HYSBYSIAD PREIFATRWYDD HWN
Caf ddiweddaru'r hysbysiad preifatrwydd hwn o dro i dro. Os byddaf yn gwneud newidiadau sylweddol, byddaf yn rhoi hysbysiad preifatrwydd newydd i chi. Hefyd, caf roi gwybod i chi mewn ffyrdd eraill o bryd i'w gilydd am brosesu eich gwybodaeth bersonol.