Fersiwn 3, Tachwedd 2023
Hysbysiad Preifatrwydd UK Longitudinal Linkage Collaboration
Cyflwyniad
Darpara’r hysbysiad preifatrwydd hwn wybodaeth ynghylch sut mae UK Longitudinal Linkage Collaboration (UK LLC) yn derbyn, yn storio ac yn trin y data a ddarperir gan Astudiaethau Poblogaeth Hydredol (APH) a ddelir yn ein Hamgylchedd Ymchwil Dibynadwy (AYD); a’r data a gasglwn ynghylch ymwelwyr â’n gwefan (https://ukllc.ac.uk), pobl sy’n tanysgrifio i’n newyddlenni, ac ymchwilwyr sy’n ymgeisio am fynediad at ddata yn ein AYD.
Bwriedir i’r hysbysiad preifatrwydd hwn fod yn eglur ac nid yw’n cynnwys pob un modd y triniwn eich data personol yn fanwl. Rydym yn fodlon darparu rhagor o wybodaeth pe gofynnech. Gallwch wneud hyn trwy yrru e-bost atom yn info@ukllc.ac.uk.
Mae holl ddata AYD UK LLC wedi’i ddadadnabod, gan atal unrhyw un rhag canfod pwy yw unrhyw gyfrannwr APH. Nid yw gweithwyr nac ymchwilwyr UK LLC yn gweld enwau, cyfeiriadau na manylion adnabod (manylion adnabod GIG, er enghraifft) ar unrhyw adeg yn y broses. Mae’r holl weithwyr ac ymchwilwyr tan gytundebau defnyddwyr llymion a luniwyd er mwyn diogelu cyfrinachedd pawb sydd â rhan yn hyn.
Mae gan UK LLC brosesau er sicrhau bod y data yn cael ei guradu, a’i fod mor drefnus ag y bo modd. Mae UK LLC yn cyfyngu mynediad at y data prosesedig hwn, o fewn yr AYD, i ymchwilwyr cymeradwy o fewn y DU er mwyn cynnal ymchwil er budd y cyhoedd.
Mae UK LLC yn gweithio gyda phartneriaid APH a pherchnogion data eraill, fel y GIG, i ddiogelu cyfrinachedd pob unigolyn y mae ei ddata yn ein AYD.
Mae UK LLC yn rhoi cytundebau i brosesyddion data i brosesu data personol unigolion sydd wedi gwirfoddoli i fod â rhan yn yr APH sydd wedi cytuno i ymuno ag UK LLC, er mwyn cyflawni ei ddibenion statudol a gweithredu’n effeithiol. Prosesir pob data personol yn unol â gofynion Rheoliadau Diogelu Data Cyffredinol y DU (UK GDPR) a Deddf Diogelu Data’r DU 2018 (DDD2018).
Mae UK LLC wedi ymrwymo i drin, storio a defnyddio eich data yn gywir, yn gyfreithlon ac mewn modd egwyddorol.
Yn yr hysbysiad preifatrwydd hwn, esboniwn:
Diffiniadau
Rydym wedi diffinio rhai o’r gwahanol ddosbarthau data a’r meysydd cyfrifoldeb am y data a ddaliwn:
Diweddarir y rhestr APH cydweithiol ar wefan UK LLC wrth i APH ychwanegol ymuno ag UK LLC: https://ukllc.ac.uk/partner-studies/
Storir eich data ar weinyddion diogel a reolir gan Brifysgol Bryste ac a leolir yn gorfforol ym Mhrifysgol Abertawe (Prosesydd Data tan gytundeb i Brifysgol Bryste ar gyfer UK LLC). Mae Prifysgol Abertawe yn arwain y DU yn narparu’r math hwn o weinydd ymchwil diogel yn y DU ac yn rhyngwladol. Rheolir y gweinyddion yn unol â safonau gorau Diogeledd Gwybodaeth (gan gynnwys ISO 27001, sef y safon fyd-eang ar gyfer diogeled gwybodaeth o ansawdd da) ac fe’u harchwilir yn rheolaidd gan weithwyr TG a diogeled proffesiynol, y GIG ac Awdurdod Ystadegau’r DU.
Prifysgol Bryste yw Rheolwr Data UK LLC. Erys y sefydliad sy’n rheoli’r APH (Prifysgol neu ran o’r GIG) yn berchen ac yn Rheolwr Data’r APH at bob diben arall. Mae UK LLC yn cydweithio’n agos â’r APH er mwyn sicrhau y proseswn y data yn y ffordd gywir. Gosodir amodau hyn mewn cytundeb sy’n rhwymo mewn cyfraith rhwng Prifysgol Bryste a’r sefydliad sy’n cynnal pob un APH.
Gellir cysylltu â Phrifysgol Bryste yn:
Data Protection Officer
University of Bristol
Beacon House
Queens Road
Bristol BS8 1QU
E-bost: data-protection@bristol.ac.uk
Mae pob APH unigol yn penderfynu pa gysylltiadau y caniateir inni eu sefydlu. Seilir hyn ar unrhyw ganiatadau y mae’r rhai sydd â rhan mewn APH wedi’u sefydlu (trwy gydsynio neu eithrio, er enghraifft). Mae rhai APH yn gofyn inni gynnal dadansoddiad gofodol at raddfa cod post yn unig, ar sail eu harfer graddfa-APH. Bydd pob un APH unigol yn darparu ffeil caniatadau fel y gallwn weithredu’n gywir yn ôl y dewisiadau hyn.
Sail gyfreithiol UK LLC
Eiddo Prifysgol Bryste yw UK LLC. Mae deddfwriaeth ordeiniol Prifysgol Bryste yn cynnwys gorchwyl a sail gyfreithiol ar gyfer cynnal ymchwil. Sail gyfreithiol UK LLC tan RhDDC y DU a DDD18 yw: 1) Cyflawni gorchwyl er budd y cyhoedd (Erthygl 6(1)(e) RhDDC y DU); ac, ar gyfer defnyddio gwybodaeth bersonol sensitif, 2) Dibenion ymchwil gwyddonol neu hanesyddol (Erthygl 9(2)(j) yn unol ag Erthygl 89(1)).
Sail gyfreithiol caniatáu data APH i mewn i AYD UK LLC
Mae gan APHau sy’n cyfrannu data i AYD UK LLC eu sail gyfreithiol eu hunain ar gyfer casglu, prosesu a rhannu data eu cyfranogwyr at ddibenion ymchwil. Yn gyffredinol, gellir canfod hyn yn hysbysiad preifatrwydd gwefan pob un APH. Mae angen i bob APH cyfrannol ddarparu tystiolaeth i UK LLC fod ganddynt sail gyfreithiol ar gyfer cael mynediad at y data hwn, a darparu dynodyddion cyfranogwyr i Drydydd Parti Dibynadwy UK LLC (Iechyd a Gofal Digidol GIG Cymru) ar gyfer cysylltedd. Yn nodweddiadol, y sail gyfreithiol ar gyfer APH tan RhDDC y DU a DDD18 fydd: Cyflawni gorchwyl er budd y cyhoedd (Erthygl 6(1)(e) RhDDC y DU); ac, ar gyfer defnyddio gwybodaeth bersonol sensitif, 2) Dibenion ymchwil gwyddonol neu hanesyddol (Erthygl 9(2)(j) yn unol ag Erthygl 89(1)). Mae’r APHau yn unol â Dyletswydd Cyfrinachedd Cyfraith Gyffredin un ai trwy gydsyniad croyw, neu trwy eithriadau cydsyniad Adran 251 tan Reoliadau Gwasanaeth Iechyd (Rheoli Gwybodaeth Cleifion) 2002 yng Nghymru a Lloegr (Rheoliad 5 â chymorth Grŵp Cynghori ar Gyfrinachedd yr Awdurdod Ymchwil Iechyd), neu trwy gynnal asesiadau prawf budd cyhoeddus gan awdurdodau datganoledig perthnasol y DU.
Sail gyfreithiol dros gyfeirio cofnodion cydgysylltiedig i AYD UK LLC
Mae angen bod â sail gyfreithiol ddilys er mwyn galluogi adrannau llywodraeth i gyfeirio data i AYD UK LLC at ddibenion ymchwil. Mae’r sail hon yn amrywio o adran i adran, rhwng cofnodion iechyd a gweinyddol, a rhwng pedair cenedl y DU.
Darpara Deddf Iechyd a Gofal Cymdeithasol 2012 sail statudol ar gyfer cydrannu data iechyd yn Lloegr. Caniateir cydgysylltu a phrosesu data iechyd yng Nghymru a Lloegr tan Ddeddf GIG 2006. Er mwyn bod yn unol â Chyfraith Gyffredin, gellir cydrannu cofnodion gan ddefnyddio Rheoliadau Rheoli Gwybodaeth am Gleifion 2002 (RhRhGG). Mae RhRhGG wedi’u gweithredu ar gyfer UK LLC tan Reoliad 3 (ar gyfer cydrannu data parthed yr ymateb i’r pandemig) a Rheoliad (ar gyfer cydrannu data gan ddefnyddio cymorth Adran 251 o Ddeddf GIG 2006). Tra bo rhai APHau sy’n cyfrannu data i AYD UK LLC yn defnyddio cydsyniad yn unig i bennu cynnwys cyfranogwyr yn AYD UK LLC, mae APHau eraill yn defnyddio model Adran 21/cydsyniad cyfun.
Bwriada UK LLC ddatblygu cymeradwyaethau llywodraethiant er caniatáu cydgysylltiad cofnodion GIG Gogledd Iwerddon (Sefydliad Gwasanaethau Busnes Gogledd Iwerddon) a’u cyfeirio tuag AYD UK LLC. Erys y gwaith hwn tan drafodaeth.
Bydd UK LLC yn cyflwyno cais i Banel Budd Cyhoeddus a Phreifatrwydd (PBCPh) yr Alban er mwyn caniatáu cydgysylltiad â chofnodion GIG yr Alban a’u cyfeirio tuag AYD UK LLC.
Caniateir cydgysylltu a phrosesu data yng Nghymru a Lloegr tan Ddeddf GIG 2006. Er mwyn bod yn unol â Chyfraith Gyffredin, gellir cydrannu cofnodion gan ddefnyddio Rheoliadau Rheoli Gwybodaeth am Gleifion 2002 (RhRhGG). Mae GIG Cymru’n cyfeirio data dadadnabyddedig i mewn i’r Gronfa Ddata Cyswllt Diogel Gwybodaeth Ddienw (CDGDd) (ar sail seilwaith SeRP UK ym Mhrifysgol Abertawe) yn y fath fodd ag nad yw’n ddata personol tra bo yn rheolaethau amddiffynnol Cronfa Ddata CDGDd a’r seilwaith SeRP. Mae UK LLC wedi gwneud cais i Banel Adolygu Llywodraethiant Gwybodaeth (PALlG) CDGDd i echdynnu data i mewn i AYD UK LLC o Gronfa Ddata CDGDd (o fewn y system Prifysgol Abertawe/ SeRP UK). Cysylltir y cyswllt hwn i gyfranogwyr APH sy’n darparu cydsyniad diamwys oherwydd cyfyngiadau yn y cytundebau cydrhwng GIG Cymru a Chronfa Ddata CDGDd.
Mae Adran 64 Deddf Economi Digidol 2017 (DED) yn darparu sail gyfreithiol addas ar gyfer cydgysylltiadau gweinyddol (addysg, cyflogaeth, treth a budd-daliadau, er enghraifft) a phrosesu data. Achredir UK LLC gan Awdurdod Ystadegau’r DU megis prosesydd o dan y DED. Caniatâ hyn i UK LLC gyfeirio data gweinyddol i mewn i AYD UK LLC.
Nid yw AYD UK LLC ond yn cynnwys data sydd â phob gwybodaeth adnabyddadwy, megis enw a chyfeiriad, wedi’i thynnu ymaith.
Golyga cynlluniad AYD UK LLC fod y perygl y gellid adnabod unrhyw unigolyn gan ymchwilwyr cymeradwy wedi’i leihau i’r graddau lle nad yw’n rhesymol debygol o ddigwydd. Mae hyn yn gweithio trwy gynnwys ein trydydd parti dibynadwy, Iechyd a Gofal Digidol Cymru (yr awdurdod GIG yng Nghymru sy’n prosesu data GIG at ddibenion ymchwil) a SeRP UK (rhan o Brifysgol Abertawe sy’n darparu seilwaith a systemau cyfrifiadurol diogel arbenigol ar gyfer ymchwilwyr sy’n defnyddio cofnodion cydgysylltiedig).
Trwy’r egwyddor ymwahanol hon, erys y setiau data adnabyddadwy llawn gyda pherchnogion y data (yr APH cyfrannol neu’r GIG, er enghraifft). Nid yw Iechyd a Gofal Digidol Cymru ond yn gweld dynodyddion, ac nid yw UK LLC ond yn cael mynediad at ddata dadadnabyddedig. Mae’r egwyddor hon wedi’i defnyddio ers rhagor na degawd yng Nghronfa Ddata CDGDd, ac fe’i defnyddir yn awr mewn sefyllfaoedd ymchwil ac ystadegol ledled y DU. Mae’r Swyddfa Ystadegau Gwladol, er enghraifft, yn defnyddio’r arddull hwn ar gyfer eu setiau data ymchwil.
Dim ond gweithwyr UK LLC (ym Mhrifysgol Bryste) a’r gweithwyr TG sy’n cadw’r system yn ddiogel (ym Mhrifysgol Abertawe) sydd â mynediad at yr holl setiau data dadadnabyddedig a ddelir yn AYD UK LL. Mae hyn yn angenrheidiol ar gyfer rheoli a pharatoi data.
7. Pwy all gael mynediad at y data yn AYD UK LLC a’i ddefnyddio, ac at ba ddibenion.
Mae UK LLC yn croesawu ceisiadau gan unrhyw ymchwilydd yn y DU. Bydd angen iddo ddangos y bydd yn ddefnyddiwr cymwys a diogel, bod ei brosiect er lles y cyhoedd, nad yw ar gyfer gwneud elw’n unig, ac y bydd yn cyflawni gofynion yr APH partneriaethol a pherchnogion data eraill.
Pes cymeradwyir, bydd yr ymchwilydd yn diffinio’r lleiafswm data angenrheidiol ar gyfer cynnal ei ymchwil. Diffinnir prosiect ymchwil yn weithgaredd ymchwil penodol at ddiben a ddiffiniwyd o flaen llaw. Gallai prosiect fod yn weithgareddau sy’n edrych ar amryw gwestiynau, ond rhaid i’r rhai hyn oll fod wedi’u rhestru ac ymwneud â thema’r prosiect. Cloriennir pob ymchwilydd yn unol â’r fframwaith Pum Diogel.
Gall ymchwilwyr weithio ar gyfer unrhyw fath o sefydliad, gan gynnwys prifysgolion, y Llywodraeth a’r GIG, elusennau a chwmnïau sector preifat. Fodd bynnag, rhaid i bob defnyddiwr gadw at y rheolau defnyddio ac y maent yn rhwym wrthynt trwy gytundeb cyfreithiol. Ni chymeradwywn ond ceisiadau gan ymchwilwyr o sefydliadau sy’n medru cyflawni ymchwil o ansawdd da er budd y cyhoedd yn unig. Yn ymarferol, golyga hynny fod angen i ymchwilwyr a’u sefydliadau ymrwymo i gynnal ymchwil ‘bona fide’ yn ôl diffiniad y Cyngor Meddygol Cyffredinol, a bod yn ‘Ymchwilwyr Diogel’ yn ôl diffiniad y Swyddfa Ystadegau Gwladol. Nid yw hyn ond yn bosibl lle bo ymchwil un ai’n brif ddiben neu’n is-ddiben sylweddol sefydliad.
Mae APHau yn cymeradwyo pob cais i ddefnyddio data cydgysylltiedig o’u cyfranogwyr, trwy eu pwyllgorau a’u prosesau sefydledig. Mae ganddynt hawl cymeradwyo neu wrthod ceisiadau pob tro.
Darparwn restr gyflawn o bob prosiect cymeradwyedig, gan gynnwys y prif ymchwilydd, pwy sy’n ei gyflogi, pa ddiben sydd iddo, pa ddata a ddefnyddia ac unrhyw ganfyddiadau ymchwil. Mae hyn ar gael ar ein Cofrestr Defnydd Data. Gallwch ofyn am hyn trwy yrru e-bost at info@ukllc.ac.uk hefyd.
8. Yr hyn sydd i’w ddisgwyl os ydych â rhan mewn APH cydweithiol.
Nid yw UK LLC yn newid perthnasoedd cyfranogwyr â’r APH .
Erys pob un APH yn berchen ac yn Rheolwr Data’r data APH, ac â rheolaeth derfynol dros sut y defnyddir y data yn AYD UK LLC. UK LLC (Prifysgol Bryste) sy’n rheoli eich data yn nhermau brosesu a churadu beunyddiol, sefydlu’r cydgysylltiadau â chofnodion beunyddiol, a chymhathu’r data a rheoli’r ymchwilwyr cymeradwy.
Ni all gweithwyr UK LLC adnabod unrhyw unigolyn o’r data a ddelir yn yr AYD. Golyga hyn na all gweithwyr gadarnhau a yw data unrhyw unigolyn wedi’i ddal yn AYD UK LLC. Golyga hyn, hefyd, na all UK LLC weithredu ceisiadau eithrio/gwrthwynebiad gan aelodau’r APH partneriaethol. Dim ond APH partneriaethol all ddweud wrth eu cyfranogwyr eu hunain a yw eu data wedi’i gynnwys.
Dim ond i rai o’u cyfranogwyr y mae APH yn darparu data. Mae APH yn rheoli pa setiau data y mae data eu cyfranogwyr wedi’i gysylltu â hwy, ac y mae gan bob cyfranogwr hawl eithrio o UK LLC yn gyfan gwbl, neu eithrio o bob cydgysylltiad, neu ddim ond cydgysylltiadau penodol. Cadarnheir gwrthwynebiadau pob cyfranogwr gan UK LLC.
Lle bo cyfranogwyr yn newid eu meddyliau (yn dweud wrth eu APH na ddymunant i’w cofnodion GIG gael eu defnyddio, neu y dymunant roi’r gorau i rannu data ag UK LLC, er enghraifft), rhoddir gwybod hyn yn rheolaidd i UK LLC, ac ni ddefnyddir data cyfranogwyr mewn ymchwiliadau yn y dyfodol, ac ni chesglir data newydd o gydgysylltiadau. Lle bo’r data yn cael ei ddefnyddio eisoes mewn prosiectau ymchwil, nid oes modd ei ddileu; ond bydd UK LLC yn sicrhau na ddefnyddir y data yn unrhyw brosiectau newydd.
9. Â pha sefydliadau y rhennir eich dynodyddion personol.
Mae Iechyd a Gofal Digidol Cymru’n gweithredu fel Proseswyr Data y mae UK LLC wedi gofyn iddynt ddosbarthu dynodyddion yn ddiogel i berchnogion data perthnasol y DU, amgryptio’r dynodyddion i mewn i restr dadadnabyddedig o unigolion, a rheoli’r allweddau amgryptio. Mae’r sefydliad dibynadwy hwn yn dileu unrhyw gyfranogwyr sy’n encilio/ymeithrio, gan dynnu eu gwybodaeth allan o unrhyw gydgysylltiadau o’r adeg honno ymlaen. Diweddarir fel hyn bob tri mis. Mae’r broses yn allweddol ar gyfer caniatáu i AYD UK LLC weithredu mewn modd dadadnabyddedig.
Yn eu tro, mae Iechyd a gofal Digidol Cymru’n rhannu dynodyddion ag:
10. Sut mae UK LLC yn defnyddio data a ddarperir gan ymwelwyr â gwefan UK LLC, pobl sy’n
cyfrannu at sianelau cyfathrebu UK LLC, gan gynnwys tanysgrifio i newyddlenni UK LLC, ac
ymchwilwyr sy’n ymgeisio am fynediad at waith yn yr AYD.
Storir eich gwybodaeth yn ddiogel.
11. Am ba hyd y ceidw UK LLC eich data.
Bydd UK LLC yn cadw’r data APH partneriaethol am gyfnod amhenodol yn y dyfodol gyhyd ag yr arhoso’r cytundebau rhannu data perthnasol mewn grym. Mae hyn yn addas ac yn gymesur oherwydd bod UK LLC at ddibenion lles cyhoeddus gwyddonol, ac wedi’i gynllunio’n benodol ar gyfer cynnal ymchwil hydredol sy’n digwydd tros gyfnodau maith o amser. Mae UK LLC yn parchu hawl yr holl gyfranogwr i newid eu meddyliau ynghylch sut y cyfranogant yn eu APH, neu a ddymunant beidio. Gweithredwn newidiadau yn nymuniadau cyfranogwyr bob tri mis.
Bydd UK LLC yn dal data arall yn unol â Pholisi Rheoli a Chadw Cofnodion Brifysgol Bryste.
Dinistrir pob data yn ddiogel yn unol â Pholisi Trin Gwybodaeth Prifysgol Bryste.
12. Sut allwch ddiddymu eich caniatâd i UK LLC ddal eich data.
Mae angen i gyfranogwyr APH gysylltu â’u APH i roi gwybod iddynt y dymunant ddiddymu eu caniatâd i UK LLC ddal eu data. Yna bydd yr APH partneriaethol yn hysbysu UK LLC â’r wybodaeth hon a diddymir data’r cyfranogwr rhag unrhyw ddefnydd gan UK LLC yn y dyfodol. Mae pob un APH partneriaethol yn gyfrifol am ddewisiadau cydsynio eu cyfranogwyr.
13. Eich hawliau
Amcana UK LLC gyrraedd y safonau uchaf wrth gasglu a defnyddio data personol. Anogwn bobl i ddweud wrthym pe teimlent fod y modd y casglwn neu y defnyddiwn ddata yn annheg, yn gamarweiniol, neu’n anaddas. Mae UK LLC yn croesawu unrhyw awgrymiadau ynghylch gwella’r modd y trafoda ddata personol.
Mae RhDDC y DU a DDD18 yn rhoi i unigolion hawliau ynghylch sut y defnyddir eu data. Mae UK LLC yn cefnogi’r hawliau hyn, yn derbyn newidiadau lle bo’n ymarferol, a bydd wastad yn ceisio ymateb i bryderon neu ymholiadau y gall y bydd gennych. Sylwch, fodd bynnag, nad yw llawer o’r hawliau hyn yn berthnasol pan ddefnyddir data at ddibenion ymchwil.
Ymwelwch, os gwelwch yn dda, â gwe-dudalennau Prifysgol Bryste ynghylch prosesu teg am ragor o wybodaeth parthed eich hawliau: http://www.bristol.ac.uk/secretary/data-protection/gdpr/rights-of-data-subjects/
Pe hoffech gwyno am y modd mae UK LLC yn trafod eich data, cysylltwch â Swyddog Diogelu Data Prifysgol Bryste trwy e-bost at data-protection@bristol.ac.uk
Neu drwy’r post at:
Data Protection Officer
University of Bristol
Beacon House
Queens Road
Bristol BS8 1QU
Os ydych yn parhau’n anfodlon, mae gennych hawl cwyno’n uniongyrchol at y Comisiynydd Gwybodaeth am benderfyniad. Gellir cysylltu â’r Comisiynydd Gwybodaeth yn:
Swyddfa’r Comisiynydd Gwybodaeth
Wycliffe House
Water Lane
Wilmslow
Swydd Gaerlleon SK9 5AF
ico.org.uk
14. Newidiadau i’n hysbysiad preifatrwydd
Sylwch y gallai UK LLC (Prifysgol Bryste) newid yr hysbysiad hwn trwy ddiweddaru’r dudalen hon. Yr hysbysied hwn yw Fersiwn 3 ac fe’i diweddarwyd ar y 30ain o Dachwedd 2023.
Er mwyn darllen y fersiwn blaenorol o’r hysbysiad preifatrwydd hwn, cliciwch yma:
UK Longitudinal Linkage Collaboration
University of Bristol
Room G.08
Canynge Hall
39 Whatley Road
Bristol BS8 2PS
E-bost: info@ukllc.ac.uk
Cynhelir UK LLC gan Brifysgolion Bryste a Chaeredin, mewn cydweithrediad ag UCL, SeRP UK, Prifysgol Abertawe a Phrifysgol Caerlŷr. Tarddodd o Astudiaeth Greiddiol Genedlaethol Iechyd a Llesiant Hydredol COVID-19. Ariennir y gwaith hwn gan S UK Research and Innovation, Y Cyngor Ymchwil Meddygol a’r Cyngor Ymchwil Economaidd a Chymdeithasol.