• Beth yw diben y ddogfen hon?

Mae Career Choices Dewis Gyrfa – CCDG (sy’n masnachu fel Gyrfa Cymru Careers Wales) wedi ymrwymo i ddiogelu preifatrwydd a diogelwch eich gwybodaeth bersonol.

Mae’r hysbysiad preifatrwydd hwn yn disgrifio sut rydym yn casglu ac yn defnyddio gwybodaeth bersonol amdanoch cyn, yn ystod ac ar ôl eich perthynas waith â ni, yn unol â’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR).

Mae'n berthnasol i bob cyflogai, gweithiwr a chontractwr.

Mae Gyrfa Cymru Careers Wales yn "rheolydd data". Mae hyn yn golygu ein bod yn gyfrifol am benderfynu sut rydym yn cadw ac yn defnyddio gwybodaeth bersonol amdanoch. Mae’n ofynnol i ni o dan ddeddfwriaeth diogelu data eich hysbysu am yr wybodaeth sydd wedi’i chynnwys yn yr hysbysiad preifatrwydd hwn.

Mae'r hysbysiad hwn yn berthnasol i ymgeiswyr recriwtio, cyflogeion presennol a chyn-gyflogeion, gweithwyr a chontractwyr. Nid yw’r hysbysiad hwn yn rhan o unrhyw gontract cyflogaeth neu gontract arall i ddarparu gwasanaethau. Mae’n bosibl y byddwn yn diweddaru’r hysbysiad hwn unrhyw bryd ond os byddwn yn gwneud hynny, byddwn yn rhoi copi wedi’i ddiweddaru o’r hysbysiad hwn i chi cyn gynted ag y bo’n rhesymol ymarferol.

Mae’n bwysig eich bod yn darllen ac yn cadw’r hysbysiad hwn, ynghyd ag unrhyw hysbysiad preifatrwydd arall y gallwn ei ddarparu ar adegau penodol pan fyddwn yn casglu neu’n prosesu gwybodaeth bersonol amdanoch, fel eich bod yn ymwybodol o sut a pham yr ydym yn defnyddio gwybodaeth o’r fath a beth yw eich hawliau o dan y ddeddfwriaeth diogelu data.

• Egwyddorion diogelu data

Byddwn yn cydymffurfio â chyfraith diogelu data. Mae hyn yn dweud bod yn rhaid i’r wybodaeth bersonol rydym yn ei chadw amdanoch:

• Gael ei defnyddio yn gyfreithlon, yn deg ac mewn ffordd dryloyw
• Cael ei chasglu dim ond at ddibenion dilys yr ydym wedi’u hesbonio’n glir i chi ac nad yw'n cael ei defnyddio mewn unrhyw ffordd sy’n anghydnaws â’r dibenion hynny
• Bod yn berthnasol i’r dibenion rydym wedi dweud wrthych amdanynt ac yn gyfyngedig i’r dibenion hynny’n unig
• Bod yn gywir ac yn cael ei chadw'n gyfredol
• Cael ei chadw dim ond cyhyd ag y bo angen at y dibenion rydym wedi dweud wrthych amdanynt
• Cael ei chadw'n ddiogel.

• Y math o wybodaeth rydym yn ei chadw amdanoch chi
• Mae data personol, neu wybodaeth bersonol, yn golygu unrhyw wybodaeth am unigolyn y gellir adnabod y person hwnnw o'r data hwnnw. Nid yw'n cynnwys data lle mae'r hunaniaeth wedi'i ddileu (data dienw).

Mae yna "gategorïau arbennig" o ddata personol mwy sensitif sydd angen lefel uwch o amddiffyniad, megis gwybodaeth am iechyd neu gyfeiriadedd rhywiol unigolyn.

Byddwn yn casglu, storio a defnyddio’r categorïau canlynol o wybodaeth bersonol amdanoch:

• Manylion cyswllt personol fel enw, teitl, cyfeiriadau, rhifau ffôn, a chyfeiriadau e-bost personol
• Dyddiad geni
• Rhywedd
• Perthynas agosaf a gwybodaeth gyswllt mewn argyfwng
• Rhif Yswiriant Gwladol
• Manylion cyfrif banc, cofnodion cyflogres a gwybodaeth statws treth
• Gwybodaeth am gyflog, gwyliau blynyddol, pensiwn a budd-daliadau
• Dyddiad cychwyn ac, os yw'n wahanol, dyddiad eich cyflogaeth barhaus
• Dyddiad gadael a'ch rheswm dros adael
• Lleoliad cyflogaeth neu weithle
• Gwybodaeth recriwtio (gan gynnwys copïau o ddogfennau hawl i weithio, geirdaon a gwybodaeth arall sydd wedi’i chynnwys mewn CV, ffurflen gais neu lythyr eglurhaol neu fel rhan o’r broses ymgeisio)
• Cofnodion cyflogaeth (gan gynnwys teitlau swyddi, hanes gwaith, oriau gwaith, gwyliau, cofnodion hyfforddi ac aelodaeth cyrff proffesiynol)
• Rhif a dyddiad cyhoeddi tystysgrif y gwasanaeth datgelu a gwahardd
• Hanes (Tâl) Digolledu
• Gwybodaeth am berfformiad
• Gwybodaeth am ddisgyblaeth a chwyn gyflogaeth
• Ffilmiau teledu cylch cyfyng a gwybodaeth arall a gafwyd drwy ddulliau electronig megis cofnodion mewngofnodi i gyfrifiaduron
• Gwybodaeth am eich defnydd o'n systemau gwybodaeth a chyfathrebu
• Ffotograffau

Gallwn hefyd gasglu, storio a defnyddio’r “categorïau arbennig” canlynol o wybodaeth bersonol fwy sensitif:

• Gwybodaeth am eich iechyd, gan gynnwys unrhyw gyflwr meddygol, cofnodion iechyd a salwch. Mae Erthygl 4(15) o Reoliad Cyffredinol y DU ar Ddiogelu Data yn diffinio data iechyd fel ‘data personol sy’n ymwneud ag iechyd corfforol neu feddyliol bod dynol, gan gynnwys darpariaeth gwasanaethau gofal iechyd, sy’n datgelu gwybodaeth am ei statws iechyd ef/ hi’:

• Manylion unrhyw absenoldebau (ac eithrio gwyliau) o’r gwaith gan gynnwys amser ar absenoldeb rhiant statudol ac absenoldeb salwch, gan gynnwys cofnodion absenoldeb oherwydd salwch fel yr hysbyswyd gan Fusion Occupational Health.
• Pan fyddwch yn gadael cyflogaeth a bod y rheswm dros adael yn gysylltiedig â'ch iechyd, gwybodaeth am y cyflwr hwnnw sydd ei angen ar gyfer pensiynau.
• Pan fyddwch yn datgelu i ni unrhyw nam neu anabledd lle mae angen yr wybodaeth hon i benderfynu ar addasiadau rhesymol ac addas i'ch helpu yn eich gwaith.
• Manylion asesiadau iechyd galwedigaethol a gynhaliwyd i bennu eich ffitrwydd i weithio gydag addasiadau rhesymol a hebddynt.

Ein sail gyfreithlon ar gyfer casglu a defnyddio eich data iechyd yw:

• Contract – pan fo prosesu data iechyd yn angenrheidiol ar gyfer perfformiad ein contract gyda chi. Er enghraifft, rydym ni, fel cyflogwr, yn darparu tâl salwch galwedigaethol ac mae’r ddarpariaeth hon wedi’i nodi yn y contract cyflogaeth. Er mwyn ei dalu, bydd angen i ni brosesu manylion eich absenoldeb salwch;
• Rhwymedigaeth gyfreithiol – prosesu data iechyd er mwyn cydymffurfio â'r gyfraith megis monitro Iechyd a Diogelwch a darparu addasiadau rhesymol yn unol â'r gyfraith ynghylch anabledd;

Buddiannau dilys – hy er budd dilys y cyflogwr neu fuddiannau dilys trydydd parti. Byddwn yn cynnal asesiad buddiannau dilys, i benderfynu a yw’r sail gyfreithiol hon yn berthnasol ar bob achlysur pan ystyrir y defnydd hwn ee yn dilyn damwain yn y gwaith, wrth rannu manylion y ddamwain (sy’n cynnwys gwybodaeth am yr anafiadau a gafwyd) â chyfreithwyr i gael cyngor cyfreithiol.

• Mae'r asesiad buddiannau dilys yn cynnwys prawf tair rhan, sef;
  • Diben: A oes buddiant dilys y tu ôl i'r prosesu?
  • Anghenraid: A ydy'r prosesu'n angenrheidiol at y diben hwnnw?
  • Cydbwyso: A yw buddiannau, hawliau neu ryddid yr unigolyn yn drech na’r buddiant dilys.
• Buddiannau hanfodol – efallai y bydd angen prosesu data iechyd i ddiogelu bywyd gweithiwr neu fywyd unigolyn arall megis mewn argyfwng. Mewn argyfwng iechyd meddwl lle credwn fod rhywun mewn perygl o niwed difrifol i’w hun neu i eraill oherwydd ei iechyd meddwl, gan gynnwys y posibilrwydd o golli bywyd. Os digwydd hyn bydd gwybodaeth angenrheidiol a chymesur yn cael ei rhannu â gwasanaethau brys neu weithwyr iechyd proffesiynol perthnasol a phriodol yn ddi-oed.

• Sut mae eich gwybodaeth bersonol yn cael ei chasglu?

Rydym yn casglu gwybodaeth bersonol am gyflogeion, gweithwyr a chontractwyr drwy’r broses ymgeisio a recriwtio, naill ai’n uniongyrchol gan ymgeiswyr neu weithiau gan asiantaeth gyflogi neu ddarparwr gwiriad cefndir. Efallai y byddwn weithiau’n casglu gwybodaeth ychwanegol gan drydydd partïon gan gynnwys cyn-gyflogwyr neu asiantaethau gwirio credyd at ddibenion gwirio cyflogaeth.

Byddwn yn casglu gwybodaeth bersonol ychwanegol yn ystod gweithgareddau sy'n ymwneud â'ch swydd trwy gydol y cyfnod y byddwch yn gweithio i ni.

• Sut byddwn yn defnyddio gwybodaeth amdanoch chi
• Byddwn yn defnyddio eich gwybodaeth bersonol dim ond pan fydd y gyfraith yn caniatáu i ni. Yn fwyaf cyffredin, byddwn yn defnyddio eich gwybodaeth bersonol o dan yr amgylchiadau canlynol:

• Lle mae angen i ni gyflawni'r contract rydym wedi ymrwymo iddo gyda chi
• Lle mae angen i ni gydymffurfio â rhwymedigaeth gyfreithiol
• Lle bo’n angenrheidiol ar gyfer ein buddiannau dilys (neu rai trydydd parti) ac nid yw eich buddiannau a’ch hawliau sylfaenol yn drech na’r buddiannau hynny.

• Mae’n bosibl y byddwn hefyd yn defnyddio’ch gwybodaeth bersonol yn y sefyllfaoedd canlynol, sy’n debygol o fod yn brin:
  • Lle mae angen i ni ddiogelu eich buddiannau (neu fuddiannau rhywun arall)
  • Lle mae ei hangen er budd y cyhoedd [neu at ddibenion swyddogol].

• Sefyllfaoedd pan fyddwn yn defnyddio eich gwybodaeth bersonol

Mae arnom angen yr holl gategorïau o wybodaeth yn y rhestr uchod yn bennaf i'n galluogi i gyflawni ein contract gyda chi ac i'n galluogi i gydymffurfio â rhwymedigaethau cyfreithiol. Mewn rhai achosion efallai y byddwn yn defnyddio eich gwybodaeth bersonol i fynd ar drywydd ein buddiannau dilys ein hunain neu rai ein trydydd partïon, ar yr amod nad yw eich buddiannau a'ch hawliau sylfaenol yn drech na’r buddiannau hynny. Rhestrir isod y sefyllfaoedd pan fyddwn yn prosesu eich gwybodaeth bersonol.

• Gwneud penderfyniad ar eich recriwtiad neu benodiad
• Pennu ar ba delerau rydych yn gweithio i ni
• Gwirio bod gennych hawl gyfreithiol i weithio yn y DU
• Eich talu ac, os ydych yn gyflogai neu’n gyflogai tybiedig at ddibenion treth, didynnu treth a chyfraniadau Yswiriant Gwladol.
• Darparu'r buddion canlynol i chi: Pensiwn, cynllun gofal iechyd, cynllun beicio i'r gwaith, cardiau gostyngiad, cynllun cynnal a chadw ceir, gwasanaethau ariannol cost isel, talebau gofal plant a chynllun gostyngiad wrth brydlesu ceir.
• Eich cofrestru mewn trefniant pensiwn yn unol â’n dyletswyddau cofrestru awtomatig statudol
• Cysylltu â'ch darparwr pensiwn ac unrhyw ddarparwr buddion cyflogeion arall
• Gweinyddu’r contract rydym wedi ymrwymo iddo gyda chi
• Rheoli a chynllunio busnes, gan gynnwys cynllunio, cyfrifyddu ac archwilio’r gweithlu
• Monitro cadw amser, cynhyrchiant ac effeithlonrwydd (gan gynnwys mynediad i adeiladau, olrhain ffonau symudol, cofnodion gwaith ar systemau'r cwmni, recordio neu wrando ar alwadau ffôn a gwrando ar gyfweliadau wedi'u recordio).
• Cwrdd â gofynion tystiolaeth ar gyfer tynnu cyllid prosiect i lawr
• Cynnal adolygiadau perfformiad, rheoli perfformiad a phennu gofynion perfformiad
• Gwneud penderfyniadau am adolygiadau cyflog (cynyddrannau) a digolledu (cyflog a buddion eraill)
• Asesu cymwysterau ar gyfer swydd neu dasg benodol, gan gynnwys penderfyniadau am ddyrchafiadau
• Casglu tystiolaeth ar gyfer gwrandawiadau cwyn gyflogaeth neu ddisgyblu posibl
• Gwneud penderfyniadau ar eich cyflogaeth neu ymgysylltiad parhaus
• Gwneud trefniadau ar gyfer terfynu ein perthynas waith
• Gofynion addysg, hyfforddiant a datblygiad
• Delio ag anghydfodau cyfreithiol sy’n ymwneud â chi, neu gyflogeion eraill, gweithwyr a chontractwyr, gan gynnwys damweiniau yn y gwaith
• Canfod eich ffitrwydd i weithio ac addasiadau rhesymol gan gynnwys gwasanaethau iechyd galwedigaethol
• Rheoli absenoldeb salwch
• Cydymffurfio â rhwymedigaethau iechyd a diogelwch
• Er mwyn atal twyll
• Monitro eich defnydd o'n systemau gwybodaeth a chyfathrebu i sicrhau cydymffurfedd â'n polisïau TG
• Sicrhau diogelwch rhwydwaith a gwybodaeth, gan gynnwys atal mynediad anawdurdodedig i'n systemau cyfathrebu cyfrifiadurol ac electronig ac atal dosbarthu meddalwedd maleisus
• Cynnal astudiaethau dadansoddi data i adolygu a deall cyfraddau cadw a gadael gweithwyr yn well
• Monitro cyfle cyfartal

Bydd rhai o’r seiliau prosesu uchod yn gorgyffwrdd ac efallai y bydd sawl sail sy’n cyfiawnhau ein defnydd o’ch gwybodaeth bersonol.

• Os byddwch yn methu â darparu gwybodaeth bersonol

Os byddwch yn methu â darparu gwybodaeth benodol pan ofynnir amdani, efallai na fyddwn yn gallu cyflawni’r contract yr ydym wedi ymrwymo iddo gyda chi (fel eich talu neu ddarparu buddion), neu efallai y byddwn yn cael ein hatal rhag cydymffurfio â’n rhwymedigaethau cyfreithiol (megis i sicrhau iechyd a diogelwch ein gweithwyr).

• Newid diben

Byddwn ond yn defnyddio eich gwybodaeth bersonol at y dibenion y gwnaethom ei chasglu ar eu cyfer, oni bai ein bod yn ystyried yn rhesymol bod angen i ni ei defnyddio am reswm arall a bod y rheswm hwnnw’n gydnaws â’r diben gwreiddiol. Os bydd angen i ni ddefnyddio’ch gwybodaeth bersonol at ddiben nad yw’n gysylltiedig, byddwn yn rhoi gwybod i chi a byddwn yn esbonio’r sail gyfreithiol sy’n caniatáu i ni wneud hynny.

Sylwch y gallwn brosesu eich gwybodaeth bersonol heb i chi wybod neu heb eich cydsyniad, yn unol â'r rheolau uchod, lle mae hyn yn ofynnol neu'n cael ei ganiatáu gan y gyfraith.

• Sut rydym yn defnyddio gwybodaeth bersonol arbennig o sensitif

Mae hyn yn ymwneud â’r categorïau data a restrir uchod:

• Gwybodaeth am eich iechyd, gan gynnwys unrhyw gyflwr meddygol, cofnodion iechyd a salwch, gan gynnwys:
• Manylion unrhyw absenoldebau (ac eithrio gwyliau) o'r gwaith gan gynnwys amser ar absenoldeb rhiant statudol ac absenoldeb salwch a
• Os rydych yn gadael cyflogaeth a bod y rheswm dros adael yn gysylltiedig â’ch iechyd, gwybodaeth am y cyflwr hwnnw sydd ei angen ar gyfer pensiynau.

Mae angen lefelau uwch o amddiffyniad ar gyfer “categorïau arbennig” o wybodaeth bersonol sy'n arbennig o sensitif. Mae angen i ni gael cyfiawnhad pellach dros gasglu, storio a defnyddio'r math hwn o wybodaeth bersonol. Mae gennym ddogfen bolisi briodol a diogeliadau y mae'n ofynnol i ni yn ôl y gyfraith eu cynnal wrth brosesu data o'r fath. Gallwn brosesu categorïau arbennig o wybodaeth bersonol o dan yr amgylchiadau canlynol:

• Mewn amgylchiadau cyfyngedig, gyda’ch cydsyniad ysgrifenedig penodol.

• Lle mae angen i ni gyflawni ein rhwymedigaethau cyfreithiol neu arfer hawliau mewn cysylltiad â chyflogaeth.

• Lle bo angen er budd y cyhoedd, er enghraifft ar gyfer monitro cyfle cyfartal neu mewn perthynas â’n cynllun pensiwn galwedigaethol.

Yn llai cyffredin, efallai y byddwn yn prosesu’r math hwn o wybodaeth lle mae ei hangen mewn perthynas â hawliadau cyfreithiol neu lle mae ei hangen i ddiogelu eich buddiannau (neu fuddiannau rhywun arall) ac nad ydych yn gallu rhoi eich cydsyniad, neu lle rydych eisoes wedi gwneud yr wybodaeth yn gyhoeddus. Gallwn hefyd brosesu gwybodaeth o’r fath am gyflogeion neu gyn-gyflogeion yn ystod gweithgareddau busnes dilys, gyda’r diogeliadau priodol.

• Ein rhwymedigaethau fel cyflogwr

• Byddwn yn defnyddio eich gwybodaeth bersonol sy'n arbennig o sensitif yn y ffyrdd canlynol:
  • Byddwn yn defnyddio gwybodaeth sy'n ymwneud â chyfnodau o absenoldeb, a all gynnwys absenoldeb salwch neu absenoldebau sy'n gysylltiedig â theulu, i gydymffurfio â chyfraith cyflogaeth a chyfreithiau eraill
  • Byddwn yn defnyddio gwybodaeth am eich iechyd corfforol neu feddyliol, neu statws anabledd, i sicrhau eich iechyd a diogelwch yn y gweithle ac i asesu eich ffitrwydd i weithio, i ddarparu addasiadau priodol yn y gweithle, i fonitro a rheoli absenoldeb salwch ac i weinyddu budd-daliadau gan gynnwys tâl mamolaeth statudol, tâl salwch statudol, pensiynau ac yswiriant iechyd parhaol
  • Os byddwch yn gwneud cais am bensiwn afiechyd o dan drefniant pensiwn a weithredir gan gwmni grŵp, byddwn yn defnyddio gwybodaeth am eich iechyd corfforol neu feddyliol wrth ddod i benderfyniad ar eich hawlogaeth
  • Byddwn yn defnyddio gwybodaeth am eich hil neu darddiad cenedlaethol neu ethnig i sicrhau monitro ac adrodd ystyrlon yn ymwneud â chyfle cyfartal
  • Byddwn yn defnyddio gwybodaeth aelodaeth undeb llafur i dalu premiymau undeb llafur, cofrestru statws cyflogai gwarchodedig ac i gydymffurfio â rhwymedigaethau cyfraith cyflogaeth
  • Cyflawni rhwymedigaethau statudol mewn achos o Drosglwyddo Ymrwymiadau (TUPE) i drydydd parti neu oddi wrth drydydd parti.

• A oes angen eich cydsyniad arnom?

Nid oes angen eich cydsyniad arnom os byddwn yn defnyddio categorïau arbennig o’ch gwybodaeth bersonol yn unol â’n polisi ysgrifenedig i gyflawni ein rhwymedigaethau cyfreithiol neu arfer hawliau penodol ym maes cyfraith cyflogaeth. Mewn amgylchiadau cyfyngedig, efallai y byddwn yn cysylltu â chi am eich cydsyniad ysgrifenedig i’n galluogi i brosesu data arbennig o sensitif penodol. Os byddwn yn gwneud hynny, byddwn yn rhoi manylion llawn yr wybodaeth yr hoffem ei chael a'r rheswm pam y mae ei hangen arnom, fel y gallwch ystyried yn ofalus a ydych yn dymuno cydsynio. Dylech fod yn ymwybodol nad yw'n amod eich contract gyda ni eich bod yn cytuno i unrhyw gais am gydsyniad gennym ni.

• Gwybodaeth am euogfarnau troseddol

Dim ond lle mae'r gyfraith yn caniatáu i ni wneud hynny y gallwn ddefnyddio gwybodaeth sy'n ymwneud ag euogfarnau troseddol. Bydd hyn fel arfer pan fo prosesu o’r fath yn angenrheidiol i ni gyflawni ein rhwymedigaethau ac ar yr amod ein bod yn gwneud hynny yn unol â’n Polisi Diogelu

Yn llai cyffredin, efallai y byddwn yn defnyddio gwybodaeth sy’n ymwneud ag euogfarnau troseddol lle mae’n angenrheidiol mewn perthynas â hawliadau cyfreithiol, lle mae’n angenrheidiol i ddiogelu eich buddiannau (neu fuddiannau rhywun arall) ac nad ydych yn gallu rhoi eich cydsyniad, neu lle rydych eisoes wedi gwneud yr wybodaeth yn gyhoeddus.

Gallwn hefyd brosesu gwybodaeth o’r fath am gyflogeion neu gyn-gyflogeion yn ystod gweithgareddau busnes dilys gyda’r diogeliadau priodol

Byddwn ond yn casglu gwybodaeth am euogfarnau troseddol os yw’n briodol o ystyried natur y rôl a lle y gallwn wneud hynny’n gyfreithiol. Lle bo’n briodol, byddwn yn casglu gwybodaeth am euogfarnau troseddol fel rhan o’r broses recriwtio neu efallai y byddwn yn cael gwybod am wybodaeth o’r fath yn uniongyrchol gennych yn ystod eich amser yn gweithio i ni. Byddwn yn defnyddio gwybodaeth am euogfarnau troseddol a throseddau yn y ffyrdd canlynol:

• Gwneud penderfyniadau ar addasrwydd i weithio gyda chwsmeriaid fel y rhagnodir gan y Gwasanaeth Datgelu a Gwahardd lle mae angen cliriad i ddiogelu'r cwsmeriaid hynny.

Caniateir i ni ddefnyddio eich gwybodaeth bersonol yn y modd hwn i gyflawni ein rhwymedigaethau diogelu. Mae gennym bolisi a diogeliadau priodol ar waith y mae'n ofynnol i ni yn ôl y gyfraith eu cynnal wrth brosesu data o'r fath.

• Gwneud penderfyniadau awtomataidd

Mae gwneud penderfyniadau awtomataidd yn digwydd pan fydd system electronig yn defnyddio gwybodaeth bersonol i wneud penderfyniad heb ymyrraeth ddynol. Ni fyddwch yn destun penderfyniadau a fydd yn cael effaith sylweddol arnoch yn seiliedig ar benderfyniadau awtomataidd yn unig, oni bai bod gennym sail gyfreithlon dros wneud hynny a’n bod wedi eich hysbysu. Nid ydym yn rhagweld y bydd unrhyw benderfyniadau'n cael eu gwneud amdanoch gan ddefnyddio dulliau awtomataidd, fodd bynnag byddwn yn eich hysbysu'n ysgrifenedig os bydd y sefyllfa hon yn newid.

• Rhannu data

Efallai y bydd yn rhaid i ni rannu eich data â thrydydd partïon, gan gynnwys darparwyr gwasanaethau trydydd parti ac endidau eraill yn y grŵp.

Rydym yn ei gwneud yn ofynnol i drydydd partïon barchu diogelwch eich data a'i drin yn unol â'r gyfraith.

Pam allech rannu fy ngwybodaeth bersonol â thrydydd partïon?

Byddwn yn rhannu eich gwybodaeth bersonol â thrydydd partïon lle bo’n ofynnol yn ôl y gyfraith, lle mae’n angenrheidiol i weinyddu’r berthynas waith gyda chi neu lle mae gennym fuddiant dilys arall mewn gwneud hynny.

Pa ddarparwyr gwasanaeth trydydd parti sy'n prosesu fy ngwybodaeth bersonol?

Cyflawnir y gweithgareddau canlynol gan ddarparwyr gwasanaethau trydydd parti: Gweinyddiaeth pensiynau, cynllun gofal iechyd, cynllun beicio i'r gwaith, cynllun cynnal a chadw ceir, cardiau gostyngiad, gwasanaethau ariannol cost isel, talebau gofal plant a chynllun gostyngiad wrth brydlesu ceir, gwasanaethau TG. Mae’r darparwyr gwasanaeth trydydd parti canlynol yn prosesu data personol amdanoch chi at y diben hwn:

Y darparwyr gwasanaeth trydydd parti yw:

TerryBerry – platfform buddion a cherdyn disgownt

Westfield Health – cynllun arian yn ymwneud â gofal iechyd

Fusion – gwasanaethau iechyd galwedigaethol a llinell adrodd ar absenoldeb

Halfords – Cynllun beicio i’r gwaith a chynllun cynnal a chadw ceir.

Salary Finance – buddion gwasanaethau ariannol

Sodexo – talebau gofal Plant

Tusker – prydlesau ceir disgownt

Llywodraeth Cymru – Cronfa Gymdeithasol Ewrop

Swyddfa Archwilio Cymru – archwilio a chydymffurfedd

Yn gweinyddu pensiynau mae:

Cronfa Bensiwn Dyfed

Cronfa Bensiwn Rhondda Cynon Taf

Cronfa Bensiwn Powys

Cronfa Bensiwn Caerdydd a Bro Morgannwg

Cronfa Bensiwn Gwynedd

Cronfa Bensiwn Clwyd

Cronfa Bensiwn Torfaen.

Pa mor ddiogel yw fy ngwybodaeth gyda darparwyr gwasanaeth trydydd parti ac endidau eraill yn ein grŵp?

Mae'n ofynnol i'n holl ddarparwyr gwasanaeth trydydd parti ac endidau eraill yn y grŵp gymryd mesurau diogelwch priodol i ddiogelu eich gwybodaeth bersonol yn unol â'n polisïau. Nid ydym yn caniatáu i’n darparwyr gwasanaeth trydydd parti ddefnyddio’ch data personol at eu dibenion eu hunain. Rydym ond yn caniatáu iddynt brosesu eich data personol at ddibenion penodol ac yn unol â’n cyfarwyddiadau.

Beth am drydydd partïon eraill?

Mae’n bosibl y byddwn yn rhannu eich gwybodaeth bersonol â thrydydd partïon eraill, er enghraifft yng nghyd-destun ailstrwythuro posibl y busnes lle mae angen trosglwyddo cyflogeion o un sefydliad i’r llall (Rheoliadau Trosglwyddo Ymgymeriadau). Yn y sefyllfa hon byddwn, cyn belled ag y bo modd, yn rhannu data wedi'i wneud yn ddienw â’r partïon eraill cyn cwblhau’r trafodiad. Unwaith y bydd y trafodiad wedi'i gwblhau, efallai y byddwn neu efallai na fyddwn yn rhannu eich data personol â'r partïon eraill ac i'r graddau sy'n ofynnol o dan delerau'r trafodiad fel y gall eich contract barhau.

Efallai y bydd angen i ni hefyd rannu eich gwybodaeth bersonol â rheolydd neu i gydymffurfio fel arall â’r gyfraith. Gall hyn gynnwys dychwelyd ffurflenni i Gyllid a Thollau Ei Fawrhydi a datgeliadau i randdeiliaid megis gofynion adrodd ar daliadau cydnabyddiaeth cyfarwyddwyr.

• Diogelwch data

Rydym wedi rhoi mesurau ar waith i ddiogelu diogelwch eich gwybodaeth. Mae manylion y mesurau hyn ar gael ar gais.

Bydd trydydd partïon ond yn prosesu eich gwybodaeth bersonol yn unol â’n cyfarwyddiadau ac os ydynt wedi cytuno i drin yr wybodaeth yn gyfrinachol a’i chadw’n ddiogel.

Rydym wedi rhoi mesurau diogelwch priodol ar waith i atal eich gwybodaeth bersonol rhag cael ei cholli’n ddamweiniol, ei defnyddio neu ei chyrchu mewn ffordd anawdurdodedig, ei newid neu ei datgelu. Yn ogystal, rydym yn cyfyngu mynediad at eich gwybodaeth bersonol i'r cyflogeion, asiantau, contractwyr a thrydydd partïon eraill sydd ag angen busnes i wybod. Dim ond ar ein cyfarwyddiadau ni y byddant yn prosesu eich gwybodaeth bersonol ac maent yn destun dyletswydd cyfrinachedd. Gellir cael manylion y mesurau hyn gan y Rheolydd Data (Pennaeth TGCh).

Rydym wedi rhoi gweithdrefnau ar waith i ymdrin ag unrhyw achos pan yr amheuir bod diogelwch eich data wedi'i danseilio a byddwn yn eich hysbysu chi ac unrhyw reoleiddiwr cymwys o unrhyw amheuaeth bod rheolau wedi'u torri pan mae'n ofynnol yn gyfreithiol i ni wneud hynny.

• Cadw data

Am ba mor hir fyddwch yn defnyddio fy ngwybodaeth?

Byddwn ond yn cadw eich gwybodaeth bersonol am gyhyd ag y bo angen i gyflawni’r dibenion y gwnaethom ei chasglu ar eu cyfer, gan gynnwys at ddibenion bodloni unrhyw ofynion cyfreithiol, cyfrifyddu neu adrodd. Mae manylion cyfnodau cadw ar gyfer gwahanol agweddau ar eich gwybodaeth bersonol ar gael yn ein Polisi Diogelu Data Cyflogeion sydd ar gael o’r fewnrwyd.

Er mwyn pennu’r cyfnod cadw priodol ar gyfer data personol, rydym yn ystyried swm, natur a sensitifrwydd y data personol, y risg bosibl o niwed o ddefnyddio neu ddatgelu eich data personol heb awdurdod, y dibenion yr ydym yn prosesu eich data personol ar eu cyfer ac a allwn gyflawni'r dibenion hynny trwy ddulliau eraill, a'r gofynion cyfreithiol cymwys.

Mewn rhai amgylchiadau efallai y byddwn yn gwneud eich gwybodaeth bersonol yn ddienw fel na all fod yn gysylltiedig â chi mwyach, ac felly efallai y byddwn yn defnyddio gwybodaeth o’r fath heb eich hysbysu’n bellach. Unwaith na fyddwch bellach yn gyflogai, gweithiwr neu gontractwr i’r cwmni byddwn yn cadw ac yn dinistrio eich gwybodaeth bersonol yn ddiogel yn unol â’n polisi cadw data a deddfau a rheoliadau cymwys.

• Hawliau mynediad, cywiro, dileu a chyfyngiad

Eich dyletswydd i roi gwybod i ni am newidiadau

Mae’n bwysig bod yr wybodaeth bersonol rydym yn ei chadw amdanoch yn gywir ac yn gyfredol. Rhowch wybod i ni os bydd eich gwybodaeth bersonol yn newid yn ystod eich perthynas waith â ni.

Eich hawliau mewn cysylltiad â gwybodaeth bersonol

O dan amgylchiadau penodol, yn ôl y gyfraith mae gennych hawl i wneud y canlynol:

• Gofyn am fynediad i’ch gwybodaeth bersonol (a elwir yn gyffredin yn “cais am fynediad at ddata gan y testun"). Mae hyn yn eich galluogi i dderbyn copi o’r wybodaeth bersonol rydym yn ei chadw amdanoch ac i wirio ein bod yn ei phrosesu’n gyfreithlon.
• Gofyn am gywiro’r wybodaeth bersonol rydym yn ei chadw amdanoch. Mae hyn yn eich galluogi i sicrhau bod unrhyw wybodaeth anghyflawn neu anghywir rydym yn ei chadw amdanoch yn cael ei chywiro.
• Gofyn am ddileu eich gwybodaeth bersonol. Mae hyn yn eich galluogi i ofyn i ni ddileu neu gael gwared â gwybodaeth bersonol lle nad oes rheswm da i ni barhau i’w phrosesu. Dim ond mewn amgylchiadau cyfyngedig y gellir arfer yr hawl hon gan fod angen eich gwybodaeth arnom i allu cyflawni ein contract gyda chi. Mae gennych hefyd yr hawl i ofyn i ni ddileu neu gael gwared â'ch gwybodaeth bersonol lle rydych wedi arfer eich hawl i wrthwynebu prosesu (gweler isod).
• Gwrthwynebu prosesu eich gwybodaeth bersonol lle’r ydym yn dibynnu ar fuddiant dilys (neu fuddiannau dilys trydydd parti) a bod rhywbeth am eich sefyllfa benodol sy’n peri ichi fod eisiau gwrthwynebu prosesu ar y sail hon. Mae gennych hefyd yr hawl i wrthwynebu lle rydym yn prosesu eich gwybodaeth bersonol at ddibenion marchnata uniongyrchol.
• Gofyn am gyfyngu ar brosesu eich gwybodaeth bersonol. Mae hyn yn eich galluogi i ofyn i ni atal prosesu gwybodaeth bersonol amdanoch chi, er enghraifft os ydych am i ni sicrhau ei chywirdeb neu'r rheswm dros ei phrosesu.
• Cais am drosglwyddo eich gwybodaeth bersonol i barti arall.

Os ydych eisiau adolygu, gwirio, cywiro neu ofyn am ddileu eich gwybodaeth bersonol, gwrthwynebu prosesu eich data personol, neu ofyn i ni drosglwyddo copi o'ch gwybodaeth bersonol i barti arall, cysylltwch â'r Rheolydd Data (Pennaeth TGCh) yn ysgrifenedig.

Nid oes angen ffi fel arfer

Ni fydd yn rhaid i chi dalu ffi i gael mynediad at eich gwybodaeth bersonol (nac i arfer unrhyw un o'r hawliau eraill). Fodd bynnag, efallai y byddwn yn codi ffi resymol os yw eich cais am fynediad yn amlwg yn ddi-sail neu'n ormodol. Fel arall, efallai y byddwn yn gwrthod cydymffurfio â’r cais mewn amgylchiadau o’r fath.

Yr hyn y gall fod ei angen arnom gennych chi

Mae’n bosibl y bydd angen i ni ofyn am wybodaeth benodol gennych i’n helpu i gadarnhau pwy ydych a sicrhau bod gennych hawl i gael mynediad i’r wybodaeth (neu i arfer unrhyw un o’ch hawliau eraill). Mae hwn yn fesur diogelwch priodol arall i sicrhau nad yw gwybodaeth bersonol yn cael ei datgelu i unrhyw unigolyn nad oes ganddo hawl i'w derbyn.

Yr hawl i dynnu cydsyniad yn ôl

O dan yr amgylchiadau cyfyngedig lle gallech fod wedi rhoi eich cydsyniad i gasglu, prosesu a throsglwyddo eich gwybodaeth bersonol at ddiben penodol, mae gennych yr hawl i dynnu eich cydsyniad yn ôl ar gyfer y prosesu penodol hwnnw ar unrhyw adeg. I dynnu eich cydsyniad yn ôl, cysylltwch â'r Rheolydd Data (Pennaeth TGCh). Unwaith y byddwn wedi derbyn hysbysiad eich bod wedi tynnu eich cydsyniad yn ôl, ni fyddwn bellach yn prosesu eich gwybodaeth at y diben neu’r dibenion y gwnaethoch gytuno iddynt yn wreiddiol, oni bai bod gennym sail gyfreithlon arall dros wneud hynny yn ôl y gyfraith.

Swyddog Diogelu Data

Rydym wedi penodi rheolwr preifatrwydd data i oruchwylio cydymffurfedd â’r hysbysiad preifatrwydd hwn. Os oes gennych unrhyw gwestiynau am yr hysbysiad preifatrwydd hwn neu am sut rydym yn trin eich gwybodaeth bersonol, cysylltwch â'r Rheolwr Cydymffurfedd a Llywodraethu. Mae gennych hawl i wneud cwyn ar unrhyw adeg i Swyddfa’r Comisiynydd Gwybodaeth, awdurdod goruchwylio’r DU ar gyfer materion diogelu data.

Newidiadau i'r hysbysiad preifatrwydd hwn

Rydym yn cadw'r hawl i ddiweddaru'r hysbysiad preifatrwydd hwn unrhyw bryd, a byddwn yn rhoi hysbysiad preifatrwydd newydd i chi pan fyddwn yn gwneud unrhyw ddiweddariadau sylweddol. Mae’n bosibl y byddwn hefyd yn eich hysbysu mewn ffyrdd eraill o bryd i’w gilydd ynglŷn â phrosesu'ch gwybodaeth bersonol.

Os oes gennych unrhyw gwestiynau am yr hysbysiad preifatrwydd hwn, cysylltwch â Denise Currell, Pennaeth Datblygu Pobl.

1. WHAT IS THE PURPOSE OF THIS DOCUMENT?

Career Choices Dewis Gyrfa – CCDG (trading as Gyrfa Cymru Careers Wales) is committed to protecting the privacy and security of your personal information.

 

This privacy notice describes how we collect and use personal information about you before, during and after your working relationship with us, in accordance with the General Data Protection Regulation (GDPR).

 

It applies to all employees, workers and contractors.

 

Gyrfa Cymru Careers Wales is a "data controller". This means that we are responsible for deciding how we hold and use personal information about you. We are required under data protection legislation to notify you of the information contained in this privacy notice.

 

This notice applies to recruitment candidates, current and former employees, workers and contractors. This notice does not form part of any contract of employment or other contract to provide services. We may update this notice at any time but if we do so, we will provide you with an updated copy of this notice as soon as reasonably practical.

 

It is important that you read and retain this notice, together with any other privacy notice we may provide on specific occasions when we are collecting or processing personal information about you, so that you are aware of how and why we are using such information and what your rights are under the data protection legislation.

 

2. DATA PROTECTION PRINCIPLES

We will comply with data protection law. This says that the personal information we hold about you must be:

• USED LAWFULLY, FAIRLY AND IN A TRANSPARENT WAY.
• COLLECTED ONLY FOR VALID PURPOSES THAT WE HAVE CLEARLY EXPLAINED TO YOU AND NOT USED IN ANY WAY THAT IS INCOMPATIBLE WITH THOSE PURPOSES.
• RELEVANT TO THE PURPOSES WE HAVE TOLD YOU ABOUT AND LIMITED ONLY TO THOSE PURPOSES.
• ACCURATE AND KEPT UP TO DATE.
• KEPT ONLY AS LONG AS NECESSARY FOR THE PURPOSES WE HAVE TOLD YOU ABOUT.
• KEPT SECURELY.

 

3. THE KIND OF INFORMATION WE HOLD ABOUT YOU

1. PERSONAL DATA, OR PERSONAL INFORMATION, MEANS ANY INFORMATION ABOUT AN INDIVIDUAL FROM WHICH THAT PERSON CAN BE IDENTIFIED. IT DOES NOT INCLUDE DATA WHERE THE IDENTITY HAS BEEN REMOVED (ANONYMOUS DATA).

 

THERE ARE "SPECIAL CATEGORIES" OF MORE SENSITIVE PERSONAL DATA WHICH REQUIRE A HIGHER LEVEL OF PROTECTION, SUCH AS INFORMATION ABOUT A PERSON'S HEALTH OR SEXUAL ORIENTATION.

 

We will collect, store, and use the following categories of personal information about you:

 

• Personal contact details such as name, title, addresses, telephone numbers, and personal email addresses
• Date of birth
• Gender
• Next of kin and emergency contact information
• National Insurance number
• Bank account details, payroll records and tax status information
• Salary, annual leave, pension and benefits information
• Start date and, if different, the date of your continuous employment
• Leaving date and your reason for leaving
• Location of employment or workplace
• Recruitment information (including copies of right to work documentation, references and other information included in a CV, application form or cover letter or as part of the application process)
• Employment records (including job titles, work history, working hours, holidays, training records and professional memberships)
• Disclosure and barring service certificate number and date of issue
• Compensation (Pay) history
• Performance information
• Disciplinary and grievance information
• CCTV footage and other information obtained through electronic means such as computer log in records

• Information about your use of our information and communications systems
• Photographs

 

We may also collect, store and use the following "special categories" of more sensitive personal information:

 

• Information about your health, including any medical condition, health and sickness records. Article 4(15) of the UK GDPR defines health data as ‘personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status‘:

 

• Details of any absences (other than holidays) from work including time on statutory parental leave and sick leave, including sickness absence records as notified by Fusion Occupational Health.
• Where you leave employment and the reason for leaving is related to your health, information about that condition needed for pensions.
• Where you disclose to us any impairment or disability where this information is needed to determine reasonable and suitable adjustments to help you in your work.
• Details of occupational health assessments carried out to determine your fitness to work with and without reasonable adjustments.

 

Our lawful basis for collecting and using your health data is:

• Contract – when processing health data is necessary for the performance of our contract with you. For example, we, as an employer, provide occupational sick pay and this provision is set out in the contract of employment. In order to pay it, we will need to process details of your sickness absence;
• Legal obligation – processing health data in order to comply with the law such as Health & Safety monitoring and provision of reasonable adjustments in line with the law around disability;

Legitimate interests – i.e. for the employers’ legitimate interests or the legitimate interests of a third party. We will carry out a legitimate interests assessment, to determine if this lawful basis applies on each occasion where this use is considered e.g. following an accident at work, where sharing details of the accident (which includes information about the injuries sustained) with solicitors to obtain legal advice.

• The legitimate interests assessment comprises a three part test of;

• Purpose: Is there a legitimate interest behind the processing?
• Necessity: Is the processing necessary for that purpose?
• Balancing: Is the legitimate interest overridden by the person’s interests, rights or freedoms.

• Vital interests – processing health data may be necessary to protect a worker’s life or the life of another person such as in an emergency. In a mental health emergency where we believe that someone is at risk of serious harm to themselves or others because of their mental health, including the potential loss of life. In this event necessary and proportionate information will be shared with relevant and appropriate emergency services or health professionals without delay.

 

4. HOW IS YOUR PERSONAL INFORMATION COLLECTED?

We collect personal information about employees, workers and contractors through the application and recruitment process, either directly from candidates or sometimes from an employment agency or background check provider. We may sometimes collect additional information from third parties including former employers or credit reference agencies for employment reference purposes.

 

We will collect additional personal information in the course of job-related activities throughout the period of you working for us.

 

 

5. HOW WE WILL USE INFORMATION ABOUT YOU

• We will only use your personal information when the law allows us to. Most commonly, we will use your personal information in the following circumstances:

 

• WHERE WE NEED TO PERFORM THE CONTRACT WE HAVE ENTERED INTO WITH YOU.
• WHERE WE NEED TO COMPLY WITH A LEGAL OBLIGATION.
• WHERE IT IS NECESSARY FOR OUR LEGITIMATE INTERESTS (OR THOSE OF A THIRD PARTY) AND YOUR INTERESTS AND FUNDAMENTAL RIGHTS DO NOT OVERRIDE THOSE INTERESTS.

 

• We may also use your personal information in the following situations, which are likely to be rare:

• WHERE WE NEED TO PROTECT YOUR INTERESTS (OR SOMEONE ELSE'S INTERESTS).
• WHERE IT IS NEEDED IN THE PUBLIC INTEREST [OR FOR OFFICIAL PURPOSES].

 

6. SITUATIONS IN WHICH WE WILL USE YOUR PERSONAL INFORMATION

We need all the categories of information in the list above primarily to allow us to perform our contract with you and to enable us to comply with legal obligations. In some cases we may use your personal information to pursue legitimate interests of our own or those of third parties, provided your interests and fundamental rights do not override those interests. The situations in which we will process your personal information are listed below.

 

• Making a decision about your recruitment or appointment
• Determining the terms on which you work for us
• Checking you are legally entitled to work in the UK
• Paying you and, if you are an employee or deemed employee for tax purposes, deducting tax and National Insurance contributions (NICs).
• Providing the following benefits to you: Pension, Healthcare Scheme, Cycle to Work Scheme, Discount Cards, car maintenance scheme, low cost Financial Services, Childcare Vouchers and Discount Car Lease Scheme.
• Enrolling you in a pension arrangement in accordance with our statutory automatic enrolment duties
• Liaising with your pension provider and any other provider of employee benefits
• Administering the contract we have entered into with you
• Business management and planning, including workforce planning, accounting and auditing
• To monitor timekeeping, productivity and efficiency (includes access to buildings, mobile telephone tracking, records of work on Company systems, recording or listening to telephone calls and listening to recorded interviews).
• To meet evidence requirements for drawing down project funding
• Conducting performance reviews, managing performance and determining performance requirements
• Making decisions about salary reviews (increments) and compensation (salary and other benefits)
• Assessing qualifications for a particular job or task, including decisions about promotions
• Gathering evidence for possible grievance or disciplinary hearings
• Making decisions about your continued employment or engagement

• Making arrangements for the termination of our working relationship
• Education, training and development requirements
• Dealing with legal disputes involving you, or other employees, workers and contractors, including accidents at work
• Ascertaining your fitness to work and reasonable adjustments including occupational health services
• Managing sickness absence
• Complying with health and safety obligations
• To prevent fraud
• To monitor your use of our information and communication systems to ensure compliance with our IT policies
• To ensure network and information security, including preventing unauthorised access to our computer and electronic communications systems and preventing malicious software distribution
• To conduct data analytics studies to review and better understand employee retention and attrition rates
• Equal opportunities monitoring

 

Some of the above grounds for processing will overlap and there may be several grounds which justify our use of your personal information.

 

7. IF YOU FAIL TO PROVIDE PERSONAL INFORMATION

 

If you fail to provide certain information when requested, we may not be able to perform the contract we have entered into with you (such as paying you or providing a benefit), or we may be prevented from complying with our legal obligations (such as to ensure the health and safety of our workers).

 

8. CHANGE OF PURPOSE

 

We will only use your personal information for the purposes for which we collected it, unless we reasonably consider that we need to use it for another reason and that reason is compatible with the original purpose. If we need to use your personal information for an unrelated purpose, we will notify you and we will explain the legal basis which allows us to do so.

 

Please note that we may process your personal information without your knowledge or consent, in compliance with the above rules, where this is required or permitted by law.

 

9. HOW WE USE PARTICULARLY SENSITIVE PERSONAL INFORMATION

 

THIS RELATES TO THE CATEGORIES OF DATA LISTED ABOVE:

• Information about your health, including any medical condition, health and sickness records, including:
• Details of any absences (other than holidays) from work including time on statutory parental leave and sick leave; and
• where you leave employment and the reason for leaving is related to your health, information about that condition needed for pensions.

 

"Special categories" of particularly sensitive personal information require higher levels of protection. We need to have further justification for collecting, storing and using this type of personal information. We have in place an appropriate policy document and safeguards which we are required by law to maintain when processing such data. We may process special categories of personal information in the following circumstances:

 

• In limited circumstances, with your explicit written consent.

 

• Where we need to carry out our legal obligations or exercise rights in connection with employment.

 

• Where it is needed in the public interest, such as for equal opportunities monitoring or in relation to our occupational pension scheme.

 

Less commonly, we may process this type of information where it is needed in relation to legal claims or where it is needed to protect your interests (or someone else's interests) and you are not capable of giving your consent, or where you have already made the information public. We may also process such information about employees or former employees in the course of legitimate business activities, with the appropriate safeguards.

 

10. OUR OBLIGATIONS AS AN EMPLOYER

 

• WE WILL USE YOUR PARTICULARLY SENSITIVE PERSONAL INFORMATION IN THE FOLLOWING WAYS:

• WE WILL USE INFORMATION RELATING TO LEAVES OF ABSENCE, WHICH MAY INCLUDE SICKNESS ABSENCE OR FAMILY RELATED LEAVES, TO COMPLY WITH EMPLOYMENT AND OTHER LAWS.
• WE WILL USE INFORMATION ABOUT YOUR PHYSICAL OR MENTAL HEALTH, OR DISABILITY STATUS, TO ENSURE YOUR HEALTH AND SAFETY IN THE WORKPLACE AND TO ASSESS YOUR FITNESS TO WORK, TO PROVIDE APPROPRIATE WORKPLACE ADJUSTMENTS, TO MONITOR AND MANAGE SICKNESS ABSENCE AND TO ADMINISTER BENEFITS INCLUDING STATUTORY MATERNITY PAY, STATUTORY SICK PAY, PENSIONS AND PERMANENT HEALTH INSURANCE.
• IF YOU APPLY FOR AN ILL-HEALTH PENSION UNDER A PENSION ARRANGEMENT OPERATED BY A GROUP COMPANY, WE WILL USE INFORMATION ABOUT YOUR PHYSICAL OR MENTAL HEALTH IN REACHING A DECISION ABOUT YOUR ENTITLEMENT.
• WE WILL USE INFORMATION ABOUT YOUR RACE OR NATIONAL OR ETHNIC ORIGIN TO ENSURE MEANINGFUL EQUAL OPPORTUNITY MONITORING AND REPORTING.
• WE WILL USE TRADE UNION MEMBERSHIP INFORMATION TO PAY TRADE UNION PREMIUMS, REGISTER THE STATUS OF A PROTECTED EMPLOYEE AND TO COMPLY WITH EMPLOYMENT LAW OBLIGATIONS
• TO FULFIL STATUTORY OBLIGATIONS IN THE EVENT OF A TRANSFER OF UNDERTAKINGS (TUPE) TO OR FROM A THIRD PARTY

 

11. DO WE NEED YOUR CONSENT?

 

We do not need your consent if we use special categories of your personal information in accordance with our written policy to carry out our legal obligations or exercise specific rights in the field of employment law. In limited circumstances, we may approach you for your written consent to allow us to process certain particularly sensitive data. If we do so, we will provide you with full details of the information that we would like and the reason we need it, so that you can carefully consider whether you wish to consent. You should be aware that it is not a condition of your contract with us that you agree to any request for consent from us.

 

12. INFORMATION ABOUT CRIMINAL CONVICTIONS

 

We may only use information relating to criminal convictions where the law allows us to do so. This will usually be where such processing is necessary to carry out our obligations and provided that we do so in line with our Safeguarding Policy

Less commonly, we may use information relating to criminal convictions where it is necessary in relation to legal claims, where it is necessary to protect your interests (or someone else's interests) and you are not capable of giving your consent, or where you have already made the information public.

 

We may also process such information about employees or former employees in the course of legitimate business activities with the appropriate safeguards

 

We will only collect information about criminal convictions if it is appropriate given the nature of the role and where we are legally able to do so. Where appropriate, we will collect information about criminal convictions as part of the recruitment process or we may be notified of such information directly by you in the course of you working for us. We will use information about criminal convictions and offences in the following ways:

 

• To make decisions on suitability to work with customers as prescribed by the Disclosure and Barring Service where clearance is necessary to safeguard those customers.

 

We are allowed to use your personal information in this way to carry out our Safeguarding obligations. We have in place an appropriate policy and safeguards which we are required by law to maintain when processing such data.

 

13. AUTOMATED DECISION-MAKING

 

Automated decision-making takes place when an electronic system uses personal information to make a decision without human intervention. You will not be subject to decisions that will have a significant impact on you based solely on automated decision-making, unless we have a lawful basis for doing so and we have notified you. We do not envisage that any decisions will be taken about you using automated means, however we will notify you in writing if this position changes.

 

14. DATA SHARING

 

We may have to share your data with third parties, including third-party service providers and other entities in the group.

We require third parties to respect the security of your data and to treat it in accordance with the law.

 

WHY MIGHT YOU SHARE MY PERSONAL INFORMATION WITH THIRD PARTIES?

We will share your personal information with third parties where required by law, where it is necessary to administer the working relationship with you or where we have another legitimate interest in doing so.

 

WHICH THIRD-PARTY SERVICE PROVIDERS PROCESS MY PERSONAL INFORMATION?

 

The following activities are carried out by third-party service providers: Pension administration, Healthcare Scheme, Cycle to Work Scheme, car maintenance scheme, Discount Cards, low cost Financial Services, Childcare Vouchers and Discount Car Lease Scheme, IT services. The following third party service providers process personal data about you for this purpose:

 

Third party Service Providers are:

TerryBerry – Benefits platform and discount card

Westfield Health – Healthcare Cash Back Plan

Fusion – Occupational Health Services and Absence Reporting Line

Halfords – Cycle to Work Scheme and car maintenance scheme.

Salary Finance – Financial Services Benefit

Sodexo - Childcare Vouchers

Tusker – Discount car leases

Welsh Government – European Social Fund

Welsh Audit Office – Audit and Compliance

 

Administrating pensions are:

Dyfed Pension fund

Rhondda Cynon Taff Pension Fund

Powys Pension fund

Cardiff and Vale of Glamorgan Pension Fund

Gwynedd Pension Fund

Clwyd Pension Fund

Torfaen Pension Fund.

 

How secure is my information with third-party service providers and other entities in our group?

All our third-party service providers and other entities in the group are required to take appropriate security measures to protect your personal information in line with our policies. We do not allow our third-party service providers to use your personal data for their own purposes. We only permit them to process your personal data for specified purposes and in accordance with our instructions.

 

WHAT ABOUT OTHER THIRD PARTIES?

We may share your personal information with other third parties, for example in the context of a possible restructuring of the business where transfers of employees are necessary from one organisation to another (TUPE). In this situation we will, so far as possible, share anonymised data with the other parties before the transaction completes. Once the transaction is completed, we will share your personal data with the other parties if and to the extent required under the terms of the transaction so that your contract can continue.

 

We may also need to share your personal information with a regulator or to otherwise comply with the law. This may include making returns to HMRC and disclosures to stakeholders such as directors' remuneration reporting requirements.

 

15. DATA SECURITY

 

We have put in place measures to protect the security of your information. Details of these measures are available upon request.

Third parties will only process your personal information on our instructions and where they have agreed to treat the information confidentially and to keep it secure.

 

We have put in place appropriate security measures to prevent your personal information from being accidentally lost, used or accessed in an unauthorised way, altered or disclosed. In addition, we limit access to your personal information to those employees, agents, contractors and other third parties who have a business need to know. They will only process your personal information on our instructions and they are subject to a duty of confidentiality. Details of these measures may be obtained from the Data Controller (Head of ICT).

 

We have put in place procedures to deal with any suspected data security breach and will notify you and any applicable regulator of a suspected breach where we are legally required to do so.

 

16. DATA RETENTION

 

HOW LONG WILL YOU USE MY INFORMATION FOR?

We will only retain your personal information for as long as necessary to fulfil the purposes we collected it for, including for the purposes of satisfying any legal, accounting, or reporting requirements. Details of retention periods for different aspects of your personal information are available in our Employee Data Protection Policy which is available from the Intranet.

 

To determine the appropriate retention period for personal data, we consider the amount, nature, and sensitivity of the personal data, the potential risk of harm from unauthorised use or disclosure of your personal data, the purposes for which we process your personal data and whether we can achieve those purposes through other means, and the applicable legal requirements.

 

In some circumstances we may anonymise your personal information so that it can no longer be associated with you, in which case we may use such information without further notice to you. Once you are no longer an employee, worker or contractor of the company we will retain and securely destroy your personal information in accordance with our data retention policy and applicable laws and regulations.

 

17. RIGHTS OF ACCESS, CORRECTION, ERASURE, AND RESTRICTION

 

YOUR DUTY TO INFORM US OF CHANGES

It is important that the personal information we hold about you is accurate and current. Please keep us informed if your personal information changes during your working relationship with us.

 

YOUR RIGHTS IN CONNECTION WITH PERSONAL INFORMATION

 

Under certain circumstances, by law you have the right to:

• Request access to your personal information (commonly known as a "data subject access request"). This enables you to receive a copy of the personal information we hold about you and to check that we are lawfully processing it.
• Request correction of the personal information that we hold about you. This enables you to have any incomplete or inaccurate information we hold about you corrected.
• Request erasure of your personal information. This enables you to ask us to delete or remove personal information where there is no good reason for us continuing to process it. This right may only be exercised in limited circumstances since we need your information to be able to fulfil our contract with you. You also have the right to ask us to delete or remove your personal information where you have exercised your right to object to processing (see below).
• Object to processing of your personal information where we are relying on a legitimate interest (or those of a third party) and there is something about your particular situation which makes you want to object to processing on this ground. You also have the right to object where we are processing your personal information for direct marketing purposes.
• Request the restriction of processing of your personal information. This enables you to ask us to suspend the processing of personal information about you, for example if you want us to establish its accuracy or the reason for processing it.
• Request the transfer of your personal information to another party.

 

If you want to review, verify, correct or request erasure of your personal information, object to the processing of your personal data, or request that we transfer a copy of your personal information to another party, please contact the data Controller (Head of ICT) in writing.

 

NO FEE USUALLY REQUIRED

You will not have to pay a fee to access your personal information (or to exercise any of the other rights). However, we may charge a reasonable fee if your request for access is clearly unfounded or excessive. Alternatively, we may refuse to comply with the request in such circumstances.

 

WHAT WE MAY NEED FROM YOU

We may need to request specific information from you to help us confirm your identity and ensure your right to access the information (or to exercise any of your other rights). This is another appropriate security measure to ensure that personal information is not disclosed to any person who has no right to receive it.

 

RIGHT TO WITHDRAW CONSENT

In the limited circumstances where you may have provided your consent to the collection, processing and transfer of your personal information for a specific purpose, you have the right to withdraw your consent for that specific processing at any time. To withdraw your consent, please contact the Data Controller (Head of ICT). Once we have received notification that you have withdrawn your consent, we will no longer process your information for the purpose or purposes you originally agreed to, unless we have another legitimate basis for doing so in law.

 

DATA PROTECTION OFFICER

We have appointed a data privacy manager to oversee compliance with this privacy notice. If you have any questions about this privacy notice or how we handle your personal information, please contact the Compliance and Governance Manager. You have the right to make a complaint at any time to the Information Commissioner's Office (ICO), the UK supervisory authority for data protection issues.

 

CHANGES TO THIS PRIVACY NOTICE

We reserve the right to update this privacy notice at any time, and we will provide you with a new privacy notice when we make any substantial updates. We may also notify you in other ways from time to time about the processing of your personal information.

 

If you have any questions about this privacy notice, please contact Denise Currell, Head of People Development.