Polisi Preifatrwydd.

Mae'r Polisi Preifatrwydd hwn yn esbonio sut mae Trusted Carrier Logistik GmbH (y cyfeirir ato o hyn ymlaen fel Trusted Carrier) yn prosesu data personol mewn cysylltiad â'i seilwaith dilysu ac ymddiriedaeth ar gyfer llifoedd gwaith logisteg, trafnidiaeth, yswiriant a'r sector cyhoeddus.

Mae Trusted Carrier yn gweithredu fel y rheolydd ar gyfer data personol a brosesir at ei ddibenion ei hun, gan gynnwys gweinyddu cyfrifon, diogelwch y platfform, atal twyll, dilysu ac awthentigeiddio biometrig, dilysu â chymorth AI, cofnodi archwiliadau, a chydymffurfiaeth.

Pan fo Trusted Carrier yn prosesu data personol ar ran cwsmer sy'n pennu diben a gofynion llif gwaith dilysu, mae Trusted Carrier yn gweithredu fel prosesydd. Pan fo Trusted Carrier ac un neu fwy o sefydliadau sy'n cymryd rhan yn pennu dibenion hanfodol a dulliau'r prosesu ar y cyd, yn enwedig mewn dilysu y gellir ei ailddefnyddio, awdurdodi isgontractwyr, neu lifoedd gwaith ymddiriedaeth a rennir, mae'r partïon yn gweithredu fel cyd-reolwyr yn unol ag Erthygl 26 GDPR.

Lle bo'n ofynnol o dan y gyfraith berthnasol, bydd Trusted Carrier yn penodi cynrychiolydd o fewn yr Undeb Ewropeaidd.

Mae Trusted Carrier yn darparu seilwaith dilysu ac ymddiriedaeth sy'n galluogi sefydliadau i gadarnhau hunaniaeth, awdurdod a pharodrwydd gweithredol cwmnïau ac unigolion heb fod angen newid llifoedd gwaith presennol.

Gall dilysu gael ei gychwyn naill ai gan sefydliad neu gan unigolyn sy'n gweithredu mewn cyd-destun proffesiynol. Gall unigolion megis gyrwyr, gweithwyr, isgontractwyr neu gynrychiolwyr gychwyn prosesau dilysu neu gymryd rhan ynddynt, gan gynnwys drwy eu cysylltu eu hunain â sefydliad neu lif gwaith gweithredol.

Ym mhob achos, mae prosesu yn digwydd o fewn cyd-destun sefydliadol neu weithredol diffiniedig ac mae'n angenrheidiol er mwyn galluogi dilysu hunaniaeth, awdurdodi, atal twyll, a rhyngweithio diogel rhwng partïon.

Fel arfer, caiff dilysu ei gychwyn o fewn cyfathrebu busnes arferol, megis cadwyn e-bost neu ryngweithio seiliedig ar negeseuon. Gall cais am ddilysu arwain naill ai at gymeradwyo proffil dilysedig presennol neu at gwblhau proses ddilysu, ac ar ôl hynny gellir rhannu ac ailddefnyddio gwybodaeth.

Mae Trusted Carrier yn gweithredu fel seilwaith dilysu ac ymddiriedaeth ac nid yw'n disodli cyfrifoldebau gwneud penderfyniadau annibynnol y partïon sy'n cymryd rhan.

Mae Trusted Carrier yn prosesu data personol sy'n angenrheidiol i ddilysu hunaniaeth, awdurdod a pharodrwydd gweithredol. Mae hyn yn cynnwys:

• data adnabod (e.e. enw, manylion cyswllt)
• data proffesiynol a data sy'n ymwneud â chwmni
• data dogfennau adnabod
• cymwysterau gyrwyr, trwyddedau, ardystiadau
• gwybodaeth sy'n ymwneud ag yswiriant a chydymffurfiaeth
• data sy'n ymwneud ag aseiniadau, llwythi a mynediad
• canlyniadau a statws dilysu
• data awthentigeiddio a mynediad
• cofnodion archwilio a gweithgarwch system

Lle bo angen, gellir prosesu data biometrig, gan gynnwys delweddau wyneb, signalau bywoliaeth, a thempledi biometrig.

Gellir prosesu metadata cyfathrebu pan gaiff dilysu ei gychwyn drwy negeseua neu e-bost.

Ceir data personol gan unigolion, sefydliadau, cwsmeriaid, gwrthbartïon, darparwyr dilysu, a ffynonellau cyhoeddus neu swyddogol.

Caiff data personol ei brosesu i ddilysu hunaniaeth ac awdurdod, cadarnhau parodrwydd gweithredol, galluogi rhannu gwybodaeth ddilysedig mewn modd rheoledig, cefnogi llifoedd gwaith ymuno a mynediad, cynnal gallu archwilio, atal twyll ac ymhonni bod yn rhywun arall, a chefnogi prosesau yswiriant, hawliadau a'r sector cyhoeddus.

Mae darparu data personol sy'n ofynnol ar gyfer dilysu yn angenrheidiol i gymryd rhan mewn llifoedd gwaith perthnasol. Pan na ddarperir data o'r fath, efallai na fydd Trusted Carrier yn gallu cwblhau dilysu, a gall hyn effeithio ar y gallu i gyrchu gwasanaethau, cyflawni aseiniadau, neu gymryd rhan mewn prosesau gweithredol.

Mae Trusted Carrier yn prosesu data personol ar sail Erthygl 6 GDPR ac, lle bo'n berthnasol, Erthygl 9 GDPR.

Cynhelir prosesu ar wahanol seiliau cyfreithiol yn dibynnu ar y diben a'r cyd-destun penodol:

• Dilysu, atal twyll a diogelwch gweithredol. Mae prosesu yn seiliedig yn bennaf ar fuddiannau dilys o dan Erthygl 6(1)(f) GDPR. Mae'r buddiannau hyn yn cynnwys sicrhau bod modd adnabod, awdurdodi a dilysu'n ddibynadwy gwmnïau ac unigolion sy'n ymwneud â logisteg a llifoedd gwaith cysylltiedig, a bod twyll, ymhonni bod yn rhywun arall, a chamddefnyddio yn cael eu hatal.
• Darparu'r gwasanaeth a phrosesu sy'n ymwneud â chyfrifon. Pan fo unigolion neu sefydliadau yn defnyddio'r gwasanaeth yn uniongyrchol, gall prosesu fod yn angenrheidiol ar gyfer cyflawni contract neu er mwyn cymryd camau cyn ymrwymo i gontract o dan Erthygl 6(1)(b) GDPR.
• Rhwymedigaethau cyfreithiol a rheoleiddiol. Lle bo'n berthnasol, gellir prosesu er mwyn cydymffurfio â rhwymedigaethau cyfreithiol o dan Erthygl 6(1)(c) GDPR neu i gyflawni tasgau er budd y cyhoedd o dan Erthygl 6(1)(e) GDPR.
• Data biometrig. Pan ddefnyddir data biometrig i adnabod unigolyn yn unigryw, cynhelir prosesu yn unol ag Erthygl 9 GDPR. Gall hyn gynnwys prosesu sy'n angenrheidiol ar gyfer sefydlu, arfer neu amddiffyn hawliadau cyfreithiol neu er budd cyhoeddus sylweddol lle bo'n berthnasol. Mae prosesu biometrig wedi'i gyfyngu i'r hyn sy'n angenrheidiol ar gyfer dilysu hunaniaeth ac atal twyll.
• Cydsyniad. Pan fo cydsyniad yn ofynnol, caiff ei sicrhau a'i reoli yn unol ag Erthygl 6(1)(a) ac Erthygl 7 GDPR. Ni ddibynnir ar gydsyniad pan na ellir ei roi'n rhydd.

Mae Trusted Carrier yn sicrhau bod prosesu yn gymesur ac wedi'i gyfyngu i'r hyn sy'n angenrheidiol ar gyfer y diben a fwriedir.

Mae Trusted Carrier yn prosesu data personol yn unol â'r egwyddorion a nodir yn Erthygl 5 GDPR.

Cynhelir prosesu yn gyfreithlon, yn deg ac yn dryloyw. Cesglir data personol at ddibenion penodedig a dilys, ac ni chaiff ei brosesu ymhellach mewn modd sy'n anghydnaws â'r dibenion hynny.

Mae Trusted Carrier yn cyfyngu'r data personol a brosesir i'r hyn sy'n angenrheidiol ar gyfer dilysu, awdurdodi, atal twyll a diogelwch gweithredol, gan ystyried cyd-destun a lefel risg benodol pob llif gwaith.

Rhoddir mesurau ar waith i sicrhau bod data personol yn gywir ac, lle bo angen, yn cael ei gadw'n gyfredol. Cedwir data dim ond cyhyd ag sy'n angenrheidiol ac fe'i diogelir drwy fesurau diogelu technegol a sefydliadol priodol.

Cymhwysir yr egwyddorion hyn drwy gydol dyluniad a gweithrediad y gwasanaeth, gan gynnwys mewn dilysu biometrig, prosesu â chymorth AI, a mecanweithiau rhannu data, er mwyn sicrhau bod prosesu yn parhau'n gymesur ac yn cyd-fynd â'i ddiben bwriadedig.

Mae Trusted Carrier yn defnyddio data biometrig ar gyfer dilysu hunaniaeth ac awthentigeiddio pan fo angen lefel uchel o sicrwydd.

Gall prosesu biometrig gynnwys cymharu wynebau, canfod bywoliaeth, a dulliau tebyg i gadarnhau hunaniaeth.

Cymhwysir prosesu o'r fath dim ond pan fo'n angenrheidiol ac na ellir yn rhesymol ei ddisodli gan ddulliau llai ymwthiol.

Nid yw data biometrig:

• yn cael ei ddefnyddio ar gyfer proffilio neu olrhain
• yn cael ei ddefnyddio ar draws cyd-destunau nad ydynt yn gysylltiedig
• yn cael ei storio mewn cronfa ddata fiometrig at ddibenion cyffredinol

Pan na ellir cwblhau dilysu biometrig, gellir defnyddio gweithdrefnau amgen lle bo hynny'n rhesymol ymarferol.

Cedwir data biometrig dim ond am y cyfnod byrraf sy'n angenrheidiol ar gyfer dilysu, awthentigeiddio, atal twyll, neu rwymedigaethau cyfreithiol.

Mae Trusted Carrier yn defnyddio deallusrwydd artiffisial i gefnogi dilysu hunaniaeth, dilysu dogfennau, canfod twyll, a chanfod anghysondebau.

Gall AI gynnal asesiadau cychwynnol neu dynnu sylw at risgiau. Pan all canlyniadau ddylanwadu ar fynediad neu gyfranogiad, integreiddir adolygiad dynol yn weithredol i'r llif gwaith.

Nid yw unigolion yn destun penderfyniadau sy'n cael effeithiau cyfreithiol neu effeithiau sylweddol tebyg ar sail prosesu awtomataidd yn unig, yn unol ag Erthygl 22 GDPR.

Mae systemau AI wedi'u dylunio i gydymffurfio â rheoleiddio AI Ewropeaidd perthnasol, gan gynnwys Rheoliad (EU) 2024/1689 (EU AI Act), lle bo'n berthnasol.

Mae Trusted Carrier yn prosesu data sy'n ymwneud ag unigolion sy'n gweithredu mewn capasiti proffesiynol.

Mae prosesu wedi'i gyfyngu i ddilysu hunaniaeth, awdurdodi, atal twyll, a diogelwch gweithredol. Ni chaiff ei ddefnyddio ar gyfer monitro cyflogeion, olrhain cynhyrchiant, na dadansoddi ymddygiad.

Ni ddefnyddir cofnodion archwilio a chofnodion dilysu i werthuso perfformiad unigolion, a chânt eu cyrchu dim ond pan fo hynny'n angenrheidiol ar gyfer diogelwch, cydymffurfiaeth neu ddatrys anghydfod.

Rhennir gwybodaeth ddilysedig dim ond pan fo hynny'n angenrheidiol ac wedi'i awdurdodi.

Nid yw Trusted Carrier yn rheoli sut mae partïon annibynnol yn defnyddio data ar ôl iddo gael ei rannu'n gyfreithlon.

Nid yw Trusted Carrier yn gwerthu data personol nac yn ei ddefnyddio ar gyfer hysbysebu.

Gellir cychwyn dilysu drwy e-bost, SMS, neu blatfformau negeseua.

Nid yw Trusted Carrier yn anfon data personol drwy blatfformau o'r fath y tu hwnt i'r hyn sy'n angenrheidiol i gychwyn dilysu.

Pan ddefnyddir platfformau negeseua trydydd parti, nid yw Trusted Carrier yn gyfrifol am sut mae'r platfformau hynny'n prosesu, storio neu rannu data a drosglwyddir drwy eu gwasanaethau. Dylai defnyddwyr gyfeirio at bolisi preifatrwydd y platfform perthnasol i gael rhagor o wybodaeth.

Gellir defnyddio Trusted Carrier i gadarnhau bod isgontractwyr wedi'u hawdurdodi i gyflawni gweithgareddau.

Mae Trusted Carrier yn cymryd camau rhesymol i sicrhau bod data personol yn gywir ac yn gyfredol.

Gellir cywiro, cyfyngu neu annilysu canlyniadau dilysu lle bo angen.

Cedwir data personol dim ond cyhyd ag sy'n angenrheidiol ar sail gofynion gweithredol, rhwymedigaethau cyfreithiol, risg twyll, a'r gallu i archwilio.

Caiff cyfnodau cadw eu hadolygu'n rheolaidd.

Mae Trusted Carrier yn gweithredu mesurau technegol a sefydliadol priodol yn unol ag Erthygl 32 GDPR.

Mae Trusted Carrier yn defnyddio cwcis a thechnolegau tebyg i gynnal sesiynau diogel, atal twyll, a sicrhau dibynadwyedd y system.

Mae rhagor o fanylion ar gael yn y Polisi Cwcis.

Gellir rhannu data personol â chwsmeriaid, gwrthbartïon, yswirwyr, broceriaid, awdurdodau cyhoeddus, a darparwyr gwasanaethau.

Mae is-broseswyr wedi'u rhwymo drwy gontract yn unol ag Erthygl 28 GDPR.

Pan drosglwyddir data personol y tu allan i'r Ardal Economaidd Ewropeaidd, gweithredir mesurau diogelu priodol yn unol ag Erthyglau 44 i 46 GDPR.

Mae gan unigolion hawliau o dan Erthyglau 15 i 22 GDPR, gan gynnwys:

• mynediad
• cywiro
• dileu
• cyfyngu
• gwrthwynebu
• cludadwyedd
• adolygiad dynol

Gellir cyflwyno ceisiadau i ten.reirracdetsurt@ycavirp.

Pan fo sawl parti yn gweithredu fel cyd-reolwyr, caiff cyfrifoldebau eu dyrannu yn unol ag Erthygl 26 GDPR.

Mae Trusted Carrier yn ymdrin â thoriadau yn unol ag Erthyglau 33 a 34 GDPR.

Mae Trusted Carrier yn gweithredu diogelu data drwy ddylunio ac fel rhagosodiad yn unol ag Erthygl 25 GDPR.

Mae Trusted Carrier yn cynnal DPIAs yn unol ag Erthygl 35 GDPR.

Pan fo cyfreithiau cenedlaethol yn gosod gofynion ychwanegol, mae'r gofynion hynny'n gymwys.

Gellir diweddaru'r Polisi Preifatrwydd hwn fel sy'n ofynnol.