HSE Privacy Policy Statements

Privacy notice

This privacy notice tells you how the Health and Safety Executive (HSE) will use your personal information under Data Protection Act 2018 and UK GDPR 2018. It explains what you can expect us to do with your personal information when you use this service or have an interaction with us.

For the purposes of this privacy notice, the data controller is the Health and Safety Executive (HSE), Redgrave Court, Merton Rd, Bootle L20 7HS. A data controller determines how and why personal data is processed.

Purpose

HSE staff will process your personal information when you make contact with us, use one of our services or have any interaction with us.

What data we collect

The data we collect from you includes:

personal data, including your name, email addresses, telephone numbers, date of birth, address and National Insurance number
employment details
memberships of professional bodies
details of profession
questions, queries or feedback you leave, including your email address if you contact us

We may collect cookies if you interact with our website. Please see the Cookies notice for further information.

How we get your information

Most of the personal information we process is provided to us directly by you for one of the following reasons:

you have raised a concern/complaint/enquiry to us
you have made an information request to us
you wish to attend, or have attended, an event
you subscribe to our e-newsletter/e-bulletin
you have applied for a job or secondment with us
you are representing your organisation
you are registered, certificated or licenced by the HSE
you have volunteered for a research programme

We also receive personal information indirectly, in the following scenarios:

we have contacted an organisation about a complaint you have made, and it gives us your personal information in its response
a complainant refers to you in their complaint correspondence.
whistle-blowers include information about you in their reporting to us
we have gathered personal information as part of a regulatory investigation or intervention
from other regulators or law enforcement bodies
an employee of ours gives your contact details as an emergency contact or a referee
your information has been passed to us as by a business you work with/for in relation to commercial testing of samples
we have seized personal information as part of an investigation
your data has been entered into a licencing or regulatory data base by your employer/contract holder
you have been involved in the purchase of a product using our website
you have registered on one of our online collaboration or membership services

Why we need your data

We collect your personal data to:

process your application
gather feedback to improve our service
respond to any feedback you send us, if you've asked us to
send email alerts to users who request them
allow you to access government services and make transactions

Our legal basis for processing your data

The legal basis for processing all other personal data is that it's necessary because one of the following applies:

you have given consent to the processing of your personal data for one or more specific purposes
processing is necessary for the performance of a contract to which you are party or in order to take steps at your request prior to entering into a contract
processing is necessary for compliance with a legal obligation to which the controller is subject
processing is necessary in order to protect your vital interests or that of another natural person
processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller
processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child

HSE will process your information under the relevant basis under Article 6 of UK GDPR.

What we do with your data

HSE may disclose personal information to a range of recipients including those from whom personal data is obtained.

Disclosures of personal information are made case-by-case. Only relevant information, specific to the purpose and circumstances, will be disclosed and with necessary controls in place.

The data we collect may be shared with other government departments, agencies and public bodies. It may also be shared with our technology suppliers, for example our hosting provider.

We will share your data if we are required to do so by law, for example, by court order, or to prevent fraud or other crime. This may include:

the Home Office
courts
another regulatory body who can demonstrate that there is a legitimate purpose for the processing of your personal data

We may also disclose personal information on a discretionary basis for the purpose of legal proceedings or for obtaining legal advice.

How long we keep your data

We will only retain your personal data for as long as it is needed for the purposes set out in this document or for as long as the law requires us to.

Records that contain your personal information processed for your registration will be managed in accordance with the Business Classification Scheme and Disposal Policy.

Children's privacy protection

Our service is not designed for, or intentionally targeted at, children 13 years of age or younger. We do not intentionally collect or maintain data about anyone under the age of 13. However, we may gather a child’s personal information as part of a regulatory investigation or intervention. In these circumstances please see our Law Enforcement Privacy Notice which specifically covers this scenario.

Where your data is processed and stored

We design, build and run our systems to make sure that your data is as safe as possible at all stages, both while it's processed and when it's stored.

All personal data is stored in the UK and EEA European Economic Area.

How we protect your data and keep it secure

We are committed to doing all that we can to keep your data secure. Our systems meet appropriate industry and government security standards, and we comply with the relevant parts of legislation relating to data security. We have set up systems and processes to prevent unauthorised access or disclosure of your data - for example, we protect your data using varying levels of encryption.

HSE ensures that appropriate policy, training, technical and procedural measures are in place. These will include ensuring our buildings are secure and protected by adequate physical means. The areas restricted to our staff and staff of partner agencies are only accessible by those holding the appropriate identification and have legitimate reasons for entry.

We carry out regular monitoring and checks to protect our manual and electronic information systems from data loss and misuse, and only permit access to them when there is a legitimate reason.

Our standard operating procedures, and policies contain guidelines as to what use may be made of any personal information. These procedures are reviewed regularly to ensure security is kept up to date.

We also make sure that any third parties that we deal with keep secure all personal data they process on our behalf.

Your rights

You have the right to request:

information about how your personal data is processed
access to that personal data
that anything inaccurate in your personal data is corrected without undue delay
withdraw your consent, where applicable

You can also:

raise an objection about how your personal data is processed
request that your personal data is erased if there is no longer justification for us keeping it
ask that the processing of your personal data is restricted in certain circumstances

Read about your data protection rights. If you have any of these requests, contact us.

If we have collected your data for law enforcement purposes the above rights may not apply. Please see our Law Enforcement Privacy Notice below for details of your rights in these circumstances.

Contact us

The Health and Safety Executive (HSE) is the controller for the personal information we process, unless otherwise stated.

There are many ways you can contact us, including by phone, email, and post.

Further information on how to contact HSE

Our postal address

Health and Safety Executive
Redgrave Court
Merton Road
Bootle
L20 7HS
Telephone: 0203 028 3547
Email: [email protected]

Our Data Protection Officer is Malwina Leszczynska. You can contact them at [email protected] or via our postal address above. Please mark the envelope 'Data Protection Officer'.

Your right to complain

We work to high standards when it comes to processing your personal information. If you have queries or concerns, you can make a complaint to HSE and we'll respond.

If you remain dissatisfied, you can make a complaint to the Information Commissioners Office (the UK supervisory authority) about the way we process your personal information.

Changes to this privacy notice

We keep our privacy notice under regular review to make sure it is up to date and accurate. It was last updated on 27 May 2025.

Privacy Notice for Investigations for Law Enforcement

For investigations for law enforcement purpose, is provided by the Health and Safety Executive (HSE).

This privacy notice tells you how the Health and Safety Executive will use your personal information under Part 3 Data Protection Act 2018 (DPA) and EU Law Enforcement Directive. It explains what you can expect us to do with your personal information when you use this service or have an interaction with us.

For the purposes of this privacy notice, the data controller is the Health and Safety Executive (HSE), Redgrave Court, Merton Rd, Bootle L20 7HS.

Purpose

HSE staff will process your personal information primarily for the purpose of inspections and investigations in support of law enforcement. As part of our statutory functions, we investigate and prosecute individuals and organisations for alleged criminal offences committed under the legislation we regulate (The Health and Safety at Work Act 1974 and other regulations).

Under Schedule 7(28) of the DPA 2018, the Health and Safety Executive are named as a Competent Authority. A Competent Authority is any other person if, and to the extent that, they have statutory functions to exercise public authority or public powers for the law enforcement purposes under Part 3 of the DPA 2018.

These purposes are set out at Part 3 Chapter 1 section 31 of the DPA 2018 and are the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, which might include the safeguarding against and the prevention of threats to public security. Our processing is either done because it is necessary for the performance of a task relating to one of these purposes or with the consent of the individual.

We process personal data for the purposes of law enforcement of the legislation for which we are regulator in the following areas:

inspections
criminal investigations
intelligence
financial recovery

Our processing can also include sensitive processing which means processing special category data for law enforcement purposes. Where this is the case, we rely on either the consent of the individual or, provided the processing is strictly necessary for the law enforcement purposes, on a condition set out in Schedule 8 of the DPA 2018. Our Appropriate Policy Document explains about our processing (including sensitive processing) for law enforcement purposes, our procedures for complying with the data protection principles and our policies for retention and erasure of any personal data.

What data we collect

When we investigate an alleged criminal offence, we gather information and evidence which might include information about victims, suspects, witnesses, and other individuals relevant to the circumstances and events.

The data we may collect from you includes:

personal data, including your name, email addresses, telephone numbers, date of birth, address and National Insurance number
sound, video and visual images including photographs and CCTV footage
your vehicle details such as make, model, colour and vehicle registration mark
financial details including bank details
intelligence material
complaint, incident and accident details including past conviction details
location data
employment details including job title, membership of professional bodies and details of your profession

Special category personal data may include personal data revealing:

racial or ethnic origin
Trade Union membership
physical or mental health

How we get your information

Most of the personal information we process is provided to us directly by you through the investigation and inspection process.

We also receive personal information indirectly by someone who has provided your data as part of their interactions with us during our investigation. These could be:

victims
suspects
witnesses
intelligence sources
complainants, including information such as correspondence and enquiries
consultants and other professional experts
other members of public

Why we need your data

We may collect your personal data to:

conduct criminal investigations
ollect intelligence to inform our enforcement actions

In our role as a competent authority, we need to establish whether offences have been committed so that we can take legal action if appropriate. When we gather information relevant to our investigation this might include information about you.

Our legal basis for processing your data

We will only use personal data when the law allows us to and where it is necessary and proportionate to do so. The legal basis for processing personal data is that it is necessary for the purpose of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.

We may reuse information originally collected for law enforcement processing, for general purposes, for instance to support other HSE business purposes. We may also use law enforcement data for other compatible purposes, such as research. Where this is the case, we will comply with UK GDPR Article 89(1) provisions to ensure lawfulness.

We process special category personal data including data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation, for the following purposes:

it is necessary for the purpose of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security
you have given consent for your personal data to be processed

For example, where we process data revealing racial or ethnic origin, the processing is necessary for the purpose of providing the same level of service where there may be language As required by law, any processing of special category data for law enforcement purposes will meet at least one Condition listed in Schedule 8 of the Data Protection Act 2018.

The Data Controller will comply with data protection law. This says that the personal data we hold about you must be:

used lawfully, fairly and in the case of data being processed for general, non-law enforcement purposes, in a transparent way
collected only for valid purposes that we have clearly explained to you and not used in any way that is incompatible with those purposes
relevant to the purposes we have told you about and limited only to those purposes
accurate and kept up to date
kept only as long as is necessary for the purposes we have told you about
kept and destroyed securely, including ensuring that appropriate technical and security measures are in place to protect your personal data and to protect personal data from loss, misuse, unauthorised access and disclosure

What we do with your data

For the purpose of law enforcement, HSE may disclose personal information to a range of recipients including those from whom personal data is obtained. This includes:

other law enforcement bodies and agencies during an investigation
expert witnesses or specialist investigators working on behalf of HSE
our external legal counsel if we’re considering taking legal action
the courts and any co-defendants and their legal representatives when legal action is taken

Court cases are held in public and so personal data, including special category data, might be made public during proceedings.

When we successfully prosecute someone, we may publish the convicted individual's identity in our Annual Report, on our website or distribute more widely to the media. This will align with any publications already made by the court.

Disclosures of personal information are made case-by-case. Only relevant information, specific to the purpose and circumstances, will be disclosed and with necessary controls in place.

The data we collect may be shared with other government departments, agencies and public bodies. It may also be shared with our technology suppliers, for example our hosting provider.

We will share your data if we are required to do so by law, for example, by court order, or to prevent fraud or other crime. This may include:

the Home Office
courts
another regulatory body who can demonstrate that there is a legitimate purpose for the processing of your personal data.

We may also disclose personal information on a discretionary basis for the purpose of legal proceedings or for obtaining legal advice.

We will not:

sell or rent your data to third parties
share your data with third parties for marketing purposes

We will not share your information with any third parties for the purposes of direct marketing.

How long we keep your data

We will only retain your personal data for as long as it is needed for the purposes set out in this document or for as long as the law requires us to.

Records that contain your personal information processed for your registration will be managed in accordance with the Business Classification Scheme and Disposal Policy.

Children's privacy protection

Our service is not designed for, or intentionally targeted at, children 13 years of age or younger. We do not intentionally collect or maintain data about anyone under the age of 13.

Where your data is processed and stored

We design, build, and run our systems to make sure that your data is as safe as possible at all stages, both while it is processed and when it is stored.

All personal data is stored in the UK and European Economic Area (EEA).

How we protect your data and keep it secure

We carry out regular monitoring and checks to protect our manual and electronic information systems from data loss and misuse, and only permit access to them when there is a legitimate reason.

We also make sure that any third parties that we deal with keep secure all personal data they process on our behalf.

Data Subjects Rights

Under UK Data Protection legislation data subjects have a number of rights that can be exercised in relation to personal data we process about you.

We sometimes need to request specific information from you to help us confirm your identity and ensure your authority to exercise the rights.

Right of Access

You can request access to the personal data we hold about you free of charge (other than a reasonable fee if a request for access is clearly unfounded or excessive but we agree to fulfil it anyway). Normally we will provide it within one month of receipt of your request unless an exemption applies.

Right to be Informed

You are entitled to be told how we obtain your personal information and how we use, retain, and store it, and who we share it with. This privacy notice gives you that information, as well as telling you what your rights are under the relevant laws.

Right to Rectification

If we hold personal data about you that is inaccurate or incomplete you have the right to ask us to correct it. You can ask us to correct your personal data by contacting [email protected]. We will reply to you within one month unless the request is complex.

Right to Request Erasure

Under certain circumstances you have the right to ask us to delete your personal data to prevent its continued processing where there is no justification for us to retain it. The circumstances most likely to apply are:

where holding your personal data is no longer necessary in relation to the purpose for which we originally collected and processed it
where you withdraw your consent to us holding your personal data if we are relying on your consent to hold it

Right to Restrict Processing

Under certain circumstances you have the right to ask us to restrict the processing of your personal data. This may be in cases where:

you are contesting the accuracy your personal data while we are verifying the accuracy
your information has been unlawfully processed and you oppose its erasure and have requested a restriction instead
where we no longer require your personal data, but you need it to establish, exercise or defend a legal claim and do not want us to delete it

It is important to note that subject access rights and the rights to rectification, erasure and restriction do not apply to the processing of ‘relevant personal data’ in the course of a criminal investigation or criminal proceedings.

Relevant personal data’ means personal data contained in a judicial decision or in other documents relating to the investigation or proceedings which are created by or on behalf of a court or other judicial authority.

Exemptions and restrictions that can, in some circumstances, be legitimately applied to prevent individuals from their rights under subject access they are.

to comply with a legal obligation
for the performance of a task carried out in the public interest or in the exercise of official authority
for the establishment, exercise or defence of legal claims
to exercise the right of freedom of expression and information
for archiving purposes in the public interest, scientific research, historical research or statistical purposes where erasure is likely to make it impossible to carry out or seriously impair that processing

Right to Object and the Right to Data Portability do not apply to law enforcement processing.

Contact us

The Health and Safety Executive (HSE) is the controller for the personal information we process, unless otherwise stated.

There are many ways you can contact us, including by phone, email, and post.

Further information on how to contact HSE

Our postal address

Health and Safety Executive
Redgrave Court
Merton Road
Bootle
L20 7HS
Telephone: 0203 028 3547
Email:[email protected]

Our Data Protection Officer is Malwina Leszczynska. You can contact them at [email protected] or via our postal address above. Please mark the envelope 'Data Protection Officer'.

Your right to complain

We work to high standards when it comes to processing your personal information. If you have queries or concerns, you can make a complaint to HSE and we'll respond.

If you remain dissatisfied, you can make a complaint to the Information Commissioners Office (the UK supervisory authority) about the way we process your personal information.

Changes to this privacy notice

We keep our privacy notice under regular review to make sure it is up to date and accurate. It was last updated on 27 May 2025.

Hysbysiad preifatrwydd

Mae'r hysbysiad preifatrwydd hwn yn dweud wrthych sut y bydd yr Awdurdod Gweithredol Iechyd a Diogelwch (HSE) yn defnyddio eich gwybodaeth bersonol o dan Ddeddf Diogelu Data 2018 a GDPR 2018 y DU. Mae'n egluro beth allwch chi ddisgwyl i ni ei wneud â'ch gwybodaeth bersonol pan fyddwch chi'n defnyddio'r gwasanaeth hwn neu'n rhyngweithio â ni.

At ddibenion yr hysbysiad preifatrwydd hwn, y rheolwr data yw'r Awdurdod Gweithredol Iechyd a Diogelwch (HSE), Redgrave Court, Merton Rd, Bootle L20 7HS. Mae rheolwr data yn pennu sut a pham y caiff data personol ei brosesu.

Diben

Bydd staff yr Awdurdod Gweithredol Iechyd a Diogelwch (HSE) yn prosesu eich gwybodaeth bersonol pan fyddwch chi'n cysylltu â ni, yn defnyddio un o'n gwasanaethau neu'n rhyngweithio â ni.

Pa ddata rydym yn eu casglu

Mae'r data rydym yn eu casglu gennych yn cynnwys:

data personol, gan gynnwys eich enw, cyfeiriadau e-bost, rhifau ffôn, dyddiad geni, cyfeiriad a rhif Yswiriant Gwladol
manylion cyflogaeth
aelodaethau o gyrff proffesiynol
manylion proffesiwn
cwestiynau, ymholiadau neu adborth a adewch, gan gynnwys eich cyfeiriad e-bost os cysylltwch â ni

Efallai y byddwn yn casglu cwcis os byddwch yn rhyngweithio â'n gwefan. Gweler yr hysbysiad Cwcis am ragor o wybodaeth.

Sut rydym yn cael eich gwybodaeth

Mae'r rhan fwyaf o'r wybodaeth bersonol rydym yn ei phrosesu yn cael ei darparu i ni'n uniongyrchol gennych am un o'r rhesymau canlynol:

rydych wedi codi pryder/cwyn/ymholiad i ni
rydych wedi gwneud cais am wybodaeth i ni
rydych yn dymuno mynychu, neu wedi mynychu, digwyddiad
rydych yn tanysgrifio i'n e-gylchlythyr/e-fwletin
rydych wedi gwneud cais am swydd neu secondiad gyda ni
rydych yn cynrychioli eich sefydliad
rydych wedi'ch cofrestru, wedi'ch ardystio neu wedi'ch trwyddedu gan yr HSE
rydych wedi gwirfoddoli ar gyfer rhaglen ymchwil.

Rydym hefyd yn derbyn gwybodaeth bersonol yn anuniongyrchol, yn y senarios canlynol:

rydym wedi cysylltu â sefydliad ynglŷn â chŵyn a wnaethoch, ac mae'n rhoi eich gwybodaeth bersonol i ni yn ei ymateb
mae achwynydd yn cyfeirio atoch yn ei ohebiaeth ynghylch cwyn
mae chwythwyr chwiban yn cynnwys gwybodaeth amdanoch wrth adrodd i ni
rydym wedi casglu gwybodaeth bersonol fel rhan o ymchwiliad neu ymyrraeth reoleiddiol
gan reoleiddwyr neu gyrff gorfodi'r gyfraith eraill
mae un o'n cyflogeion yn rhoi eich manylion cyswllt fel cyswllt brys neu ganolwr
mae eich gwybodaeth wedi'i throsglwyddo i ni fel busnes rydych yn gweithio gydag ef/iddo mewn perthynas â phrofi samplau'n fasnachol
rydym wedi atafaelu gwybodaeth bersonol fel rhan o ymchwiliad.
mae eich data wedi'u nodi mewn cronfa ddata drwyddedu neu reoleiddiol gan eich cyflogwr/deiliad contract
rydych wedi ymwneud â phrynu cynnyrch gan ddefnyddio ein gwefan
rydych wedi cofrestru ar un o'n gwasanaethau cydweithio neu aelodaeth ar-lein

Pam mae angen eich data arnom

Rydym yn casglu eich data personol i:

prosesu eich cais
casglu adborth i wella ein gwasanaeth
ymateb i unrhyw adborth a anfonwch atom, os ydych wedi gofyn i ni wneud hynny
anfon rhybuddion e-bost at ddefnyddwyr sy'n gofyn amdanynt
caniatáu i chi gael mynediad at wasanaethau'r llywodraeth a gwneud trafodion

Ein sail gyfreithiol ar gyfer prosesu eich data

Y sail gyfreithiol ar gyfer prosesu’r holl ddata personol arall yw ei fod yn angenrheidiol oherwydd bod un o'r canlynol yn berthnasol:

rydych wedi rhoi caniatâd i brosesu eich data personol at un neu fwy o ddibenion penodol
mae prosesu yn angenrheidiol ar gyfer cyflawni contract rydych yn rhan ohono neu er mwyn cymryd camau ar eich cais cyn ymrwymo i gontract
mae prosesu yn angenrheidiol er mwyn cydymffurfio â rhwymedigaeth gyfreithiol y mae'r rheolwr yn ddarostyngedig iddi
mae prosesu yn angenrheidiol er mwyn amddiffyn eich buddiannau hanfodol neu fuddiannau person naturiol arall
mae prosesu yn angenrheidiol ar gyfer cyflawni tasg a gyflawnir er budd y cyhoedd neu wrth arfer awdurdod swyddogol a roddwyd i'r rheolwr
mae prosesu yn angenrheidiol at ddibenion y buddiannau cyfreithlon a ddilynir gan y rheolwr neu gan drydydd parti, ac eithrio lle mae buddiannau o'r fath yn cael eu gorbwyso gan fuddiannau neu hawliau a rhyddid sylfaenol y gwrthrych data sy'n ei gwneud yn ofynnol i ddata personol gael eu diogelu, yn enwedig lle mae'r gwrthrych data yn blentyn

Bydd HSE yn prosesu eich gwybodaeth o dan y sail berthnasol o dan Erthygl 6 o GDPR y DU.

Beth rydym yn ei wneud â'ch data

Gall HSE ddatgelu gwybodaeth bersonol i amrywiaeth o dderbynwyr gan gynnwys y rhai y ceir data personol ganddynt.

Gwneir datgeliadau o wybodaeth bersonol fesul achos. Dim ond gwybodaeth berthnasol, sy'n benodol i'r pwrpas a'r amgylchiadau, a ddatgelir a chyda'r rheolaethau angenrheidiol ar waith.

Gall y data a gasglwn gael eu rhannu ag adrannau’r llywodraeth, asiantaethau a chyrff cyhoeddus eraill. Gall hefyd gael eu rhannu â'n cyflenwyr technoleg, er enghraifft ein darparwr cynnal.

Byddwn yn rhannu eich data os yw'n ofynnol i ni wneud hynny yn ôl y gyfraith, er enghraifft, trwy orchymyn llys, neu i atal twyll neu drosedd arall. Gall hyn gynnwys:

y Swyddfa Gartref
llysoedd
corff rheoleiddio arall a all ddangos bod diben cyfreithlon dros brosesu eich data personol.

Efallai y byddwn hefyd yn datgelu gwybodaeth bersonol yn ôl ein disgresiwn at ddibenion achos cyfreithiol neu i gael cyngor cyfreithiol.

Am ba hyd y byddwn yn cadw eich data

Byddwn yn cadw eich data dim ond cyhyd ag y bo angen at y dibenion a nodir yn y ddogfen hon neu cyhyd ag y mae'r gyfraith yn ei gwneud yn ofynnol i ni gadw eich data personol.

Bydd cofnodion sy'n cynnwys eich gwybodaeth bersonol a broseswyd ar gyfer eich cofrestru yn cael eu rheoli yn unol â'r Cynllun Dosbarthu Busnes a'r Polisi Gwaredu (hse.gov.uk).

Diogelu preifatrwydd plant

Nid yw ein gwasanaeth wedi'i gynllunio ar gyfer, nac wedi'i dargedu'n fwriadol at, blant 13 oed neu iau. Nid ydym yn casglu nac yn cynnal data yn fwriadol am unrhyw un o dan 13 oed. Fodd bynnag, efallai y byddwn yn casglu gwybodaeth bersonol plentyn fel rhan o ymchwiliad neu ymyrraeth reoleiddiol. Yn yr amgylchiadau hyn, gweler ein Hysbysiad Preifatrwydd Gorfodi'r Gyfraith sy'n ymdrin yn benodol â'r senario hwn.

Ble mae eich data yn cael eu prosesu a'u storio

Rydym yn dylunio, yn adeiladu ac yn rhedeg ein systemau i sicrhau bod eich data mor ddiogel â phosibl ym mhob cam, tra ei fod yn cael eu prosesu a phan gaiff eu storio.

Mae'r holl ddata personol yn cael eu storio yn y DU ac Ardal Economaidd Ewropeaidd yr EEA.

Sut rydym yn amddiffyn eich data ac yn eu cadw'n ddiogel

Rydym wedi ymrwymo i wneud popeth o fewn ein gallu i gadw eich data yn ddiogel. Mae ein systemau'n bodloni safonau diogelwch priodol y diwydiant a'r llywodraeth, ac rydym yn cydymffurfio â'r rhannau perthnasol o ddeddfwriaeth sy'n ymwneud â diogelwch data. Rydym wedi sefydlu systemau a phrosesau i atal mynediad neu ddatgeliad heb awdurdod i'ch data - er enghraifft, rydym yn amddiffyn eich data gan ddefnyddio gwahanol lefelau o amgryptio.

Mae HSE yn sicrhau bod polisïau, hyfforddiant, mesurau technegol a gweithdrefnol priodol ar waith. Bydd y rhain yn cynnwys sicrhau bod ein hadeiladau'n ddiogel ac wedi'u hamddiffyn gan ddulliau ffisegol digonol. Dim ond y rhai sydd â'r modd adnabod priodol ac sydd â rhesymau dilys dros gael mynediad sy'n gallu cael mynediad i'r ardaloedd sydd wedi'u cyfyngu i'n staff ni a staff asiantaethau partner.

Rydym yn cynnal monitro a gwiriadau rheolaidd i amddiffyn ein systemau gwybodaeth â llaw ac electronig rhag colli a chamddefnyddio data, a dim ond pan fo rheswm dilys y caniateir mynediad iddynt.

Mae ein gweithdrefnau gweithredu safonol, a'n polisïau'n cynnwys canllawiau ynghylch pa ddefnydd y gellir ei wneud o unrhyw wybodaeth bersonol. Caiff y gweithdrefnau hyn eu hadolygu'n rheolaidd i sicrhau bod diogelwch yn cael ei gadw'n gyfredol.

Rydym hefyd yn sicrhau bod unrhyw drydydd partïon rydym yn delio â nhw yn cadw'r holl ddata personol y maent yn eu prosesu ar ein rhan yn ddiogel.

Eich hawliau

Mae gennych yr hawl i ofyn:

am wybodaeth ynghylch sut mae eich data personol yn cael eu prosesu
am fynediad at y data personol hynny
bod unrhyw beth anghywir yn eich data personol yn cael ei gywiro heb oedi gormodol
am dynnu eich caniatâd yn ôl, lle bo'n berthnasol.

Gallwch hefyd:

codi gwrthwynebiad ynghylch sut mae eich data personol yn cael eu prosesu
gofyn am ddileu eich data personol os nad oes cyfiawnhad mwyach dros eu cadw
gofyn am gyfyngu ar brosesu eich data personol mewn rhai amgylchiadau

Darllenwch am eich hawliau diogelu data. Os oes gennych unrhyw un o'r ceisiadau hyn, cysylltwch â ni.

Os ydym wedi casglu eich data at ddibenion gorfodi'r gyfraith, efallai na fydd yr hawliau uchod yn berthnasol. Gweler ein Hysbysiad Preifatrwydd Gorfodi'r Gyfraith am fanylion eich hawliau yn yr amgylchiadau hyn.

Cysylltu â ni

Yr Awdurdod Gweithredol Iechyd a Diogelwch (HSE) yw'r rheolwr ar gyfer y wybodaeth bersonol rydym yn ei phrosesu, oni nodir yn wahanol.

Mae llawer o ffyrdd y gallwch gysylltu â ni, gan gynnwys dros y ffôn, e-bost, a phost.

Rhagor o wybodaeth am sut i gysylltu ag HSE

Ein cyfeiriad post

Yr Awdurdod Gweithredol Iechyd a Diogelwch
Redgrave Court
Merton Road
Bootle
L20 7HS
Ffôn: 0203 028 3547
E-bost: [email protected]

Ein Swyddog Diogelu Data yw Malwina Leszczynska. Gallwch gysylltu â nhw yn [email protected] neu drwy ein cyfeiriad post uchod. Marciwch yr amlen 'Swyddog Diogelu Data'.

Eich hawl i gwyno

Rydym yn gweithio i safonau uchel o ran prosesu eich gwybodaeth bersonol. Os oes gennych ymholiadau neu bryderon, gallwch wneud cwyn i HSE a byddwn yn ymateb.

Os ydych chi'n dal yn anfodlon, gallwch wneud cwyn i Swyddfa'r Comisiynwyr Gwybodaeth (awdurdod goruchwylio'r DU) ynghylch y ffordd rydym yn prosesu eich gwybodaeth bersonol.

Newidiadau i'r hysbysiad preifatrwydd hwn

Rydym yn adolygu ein hysbysiad preifatrwydd yn rheolaidd i wneud yn siŵr ei fod yn gyfredol ac yn gywir. Fe'i diweddarwyd ddiwethaf ar 3ydd Mehefin 2024.

Hysbysiad Preifatrwydd ar gyfer Ymchwiliadau ar gyfer Gorfodi'r Gyfraith

Ar gyfer ymchwiliadau at ddibenion gorfodi'r gyfraith, fe’i darperir gan yr Awdurdod Gweithredol Iechyd a Diogelwch (HSE).

Mae'r hysbysiad preifatrwydd hwn yn dweud wrthych sut y bydd yr Awdurdod Gweithredol Iechyd a Diogelwch yn defnyddio'ch gwybodaeth bersonol o dan Ran 3 Deddf Diogelu Data 2018 (DPA) a Chyfarwyddeb Gorfodi'r Gyfraith yr UE. Mae'n egluro beth allwch chi ddisgwyl i ni ei wneud â'ch gwybodaeth bersonol pan fyddwch chi'n defnyddio'r gwasanaeth hwn neu'n rhyngweithio â ni.

At ddibenion yr hysbysiad preifatrwydd hwn, y rheolwr data yw'r Awdurdod Gweithredol Iechyd a Diogelwch (HSE), Redgrave Court, Merton Rd, Bootle L20 7HS.

Diben

Bydd staff HSE yn prosesu eich gwybodaeth bersonol yn bennaf at ddibenion arolygiadau ac ymchwiliadau i gefnogi gorfodi'r gyfraith. Fel rhan o'n swyddogaethau statudol, rydym yn ymchwilio ac yn erlyn unigolion a sefydliadau am dramgwyddau troseddol honedig a gyflawnwyd o dan y ddeddfwriaeth rydym yn ei rheoleiddio (Deddf Iechyd a Diogelwch yn y Gwaith 1974 a rheoliadau eraill).

O dan Atodlen 7(28) o DPA 2018, mae'r Awdurdod Gweithredol Iechyd a Diogelwch wedi'i enwi'n Awdurdod Cymwys. Awdurdod Cymwys yw unrhyw berson arall os oes ganddo, ac i'r graddau y mae ganddynt, swyddogaethau statudol i arfer awdurdod cyhoeddus neu bwerau cyhoeddus at ddibenion gorfodi'r gyfraith o dan Ran 3 o'r Ddeddf Diogelu Data 2018.

Mae'r dibenion hyn wedi'u nodi yn Rhan 3 Pennod 1 adran 31 o'r Ddeddf Diogelu Data 2018 ac maent yn cynnwys atal, ymchwilio, canfod neu erlyn troseddau neu weithredu cosbau troseddol, a allai gynnwys diogelu rhag ac atal bygythiadau i ddiogelwch y cyhoedd. Gwneir ein prosesu naill ai oherwydd ei fod yn angenrheidiol ar gyfer cyflawni tasg sy'n ymwneud ag un o'r dibenion hyn neu gyda chydsyniad yr unigolyn.

Rydym yn prosesu data personol at ddibenion gorfodi'r gyfraith y ddeddfwriaeth rydym yn rheoleiddiwr ar ei chyfer yn y meysydd canlynol:

archwiliadau
ymchwiliadau troseddol
cudd-wybodaeth
adferiad ariannol

Gall ein prosesu hefyd gynnwys prosesu sensitif sy'n golygu prosesu data categori arbennig at ddibenion gorfodi'r gyfraith. Lle bo hyn yn wir, rydym yn dibynnu naill ai ar ganiatâd yr unigolyn neu, ar yr amod bod y prosesu'n gwbl angenrheidiol at ddibenion gorfodi'r gyfraith, ar amod a nodir yn Atodlen 8 o'r Ddeddf Diogelu Data 2018. Mae ein Dogfen Polisi Priodol yn esbonio am ein prosesu (gan gynnwys prosesu sensitif) at ddibenion gorfodi'r gyfraith, ein gweithdrefnau ar gyfer cydymffurfio ag egwyddorion diogelu data a'n polisïau ar gyfer cadw a dileu unrhyw ddata personol.

Pa ddata rydym yn eu casglu

Pan fyddwn yn ymchwilio i drosedd honedig, rydym yn casglu gwybodaeth a thystiolaeth a allai gynnwys gwybodaeth am ddioddefwyr, y rhai dan amheuaeth, tystion, ac unigolion eraill sy'n berthnasol i'r amgylchiadau a'r digwyddiadau.

Mae'r data y gallwn eu casglu gennych yn cynnwys:

data personol, gan gynnwys eich enw, cyfeiriadau e-bost, rhifau ffôn, dyddiad geni, cyfeiriad a Rhif Yswiriant Gwladol
delweddau sain, fideo a gweledol gan gynnwys ffotograffau a Delweddau CCTV
manylion eich cerbyd fel gwneuthuriad, model, lliw a marc cofrestru'r cerbyd
manylion ariannol gan gynnwys manylion banc
deunydd cudd-wybodaeth
manylion cwynion, digwyddiadau a damweiniau gan gynnwys manylion euogfarnau yn y gorffennol
data lleoliad
manylion cyflogaeth gan gynnwys teitl swydd, aelodaeth o gyrff proffesiynol a manylion eich proffesiwn

Gall data personol categori arbennig gynnwys data personol sy'n datgelu:

tarddiad hiliol neu ethnig
aelodaeth o Undeb Llafur
lechyd corfforol neu feddyliol

Sut rydym yn cael eich gwybodaeth

Mae'r rhan fwyaf o'r wybodaeth bersonol rydym yn ei phrosesu yn cael ei darparu i ni'n uniongyrchol gennych chi drwy'r broses ymchwilio ac arolygu.

Rydym hefyd yn derbyn gwybodaeth bersonol yn anuniongyrchol gan rywun sydd wedi darparu eich data fel rhan o'u rhyngweithiadau â ni yn ystod ein hymchwiliad. Gallai'r rhain gynnwys:

dioddefwyr
y rhai dan amheuaeth
tystion
ffynonellau cudd-wybodaeth
cwynwyr, gan gynnwys gwybodaeth fel gohebiaeth ac ymholiadau
ymgynghorwyr ac arbenigwyr proffesiynol eraill
aelodau eraill o'r cyhoedd

Pam mae angen eich data arnom

Efallai y byddwn yn casglu eich data personol i:

cynnal ymchwiliadau troseddol
casglu gwybodaeth i lywio ein camau gorfodi

Yn ein rôl fel awdurdod cymwys, mae angen i ni sefydlu a yw troseddau wedi'u cyflawni fel y gallwn gymryd camau cyfreithiol os yw'n briodol. Pan fyddwn yn casglu gwybodaeth sy'n berthnasol i'n hymchwiliad, gallai hyn gynnwys gwybodaeth amdanoch chi.

Ein sail gyfreithiol ar gyfer prosesu eich data

Dim ond pan fydd y gyfraith yn caniatáu i ni wneud hynny a lle mae'n angenrheidiol ac yn gymesur gwneud hynny y byddwn yn defnyddio data personol. Y sail gyfreithiol ar gyfer prosesu data personol yw ei fod yn angenrheidiol at ddiben atal, ymchwilio, canfod neu erlyn troseddau neu weithredu cosbau troseddol, gan gynnwys diogelu rhag ac atal bygythiadau i ddiogelwch y cyhoedd.

Efallai y byddwn yn ailddefnyddio gwybodaeth a gasglwyd yn wreiddiol ar gyfer prosesu gorfodi'r gyfraith, at ddibenion cyffredinol, er enghraifft i gefnogi dibenion busnes eraill yr HSE. Efallai y byddwn hefyd yn defnyddio data gorfodi'r gyfraith at ddibenion cydnaws eraill, megis ymchwil. Lle bo hyn yn wir, byddwn yn cydymffurfio â darpariaethau Erthygl 89(1) GDPR y DU i sicrhau cyfreithlondeb.

Rydym yn prosesu data personol categori arbennig gan gynnwys data sy'n datgelu tarddiad hiliol neu ethnig, barn wleidyddol, credau crefyddol neu athronyddol, neu aelodaeth o undeb llafur, data genetig, data biometrig at ddiben adnabod person naturiol yn unigryw, data ynghylch iechyd neu ddata ynghylch bywyd rhywiol neu gyfeiriadedd rhywiol person naturiol, at y dibenion canlynol:

mae'n angenrheidiol at ddibenion atal, ymchwilio, canfod neu erlyn troseddau neu weithredu cosbau troseddol, gan gynnwys diogelu rhag ac atal bygythiadau i ddiogelwch y cyhoedd
rydych wedi rhoi caniatâd i brosesu eich data personol

Er enghraifft, lle rydym yn prosesu data sy'n datgelu tarddiad hiliol neu ethnig, mae'r prosesu yn angenrheidiol at ddiben darparu'r un lefel o wasanaeth lle gall fod problem ynghylch iaith. Fel sy'n ofynnol gan y gyfraith, bydd unrhyw brosesu data categori arbennig at ddibenion gorfodi'r gyfraith yn bodloni o leiaf un Amod a restrir yn Atodlen 8 i Ddeddf Diogelu Data 2018.

Bydd y Rheolwr Data yn cydymffurfio â chyfraith diogelu data. Mae hyn yn dweud bod rhaid i'r data personol sydd gennym amdanoch chi fod:

wedi'u defnyddio'n gyfreithlon, yn deg ac yn achos data sy'n cael eu prosesu at ddibenion cyffredinol, nad ydynt yn ymwneud â gorfodi'r gyfraith, mewn ffordd dryloyw
wedi'u casglu at ddibenion dilys yn unig yr ydym wedi'u hesbonio'n glir i chi ac ni chaiff eu defnyddio mewn unrhyw ffordd sy'n anghydnaws â'r dibenion hynny
yn berthnasol i'r dibenion rydym wedi dweud wrthych amdanynt ac wedi'i gyfyngu i'r dibenion hynny yn unig
yn gywir ac wedi'i gadw'n gyfredol
wedi'u cadw dim ond cyhyd ag y bo angen at y dibenion rydym wedi dweud wrthych amdanynt
wedi'u cadw a'u dinistrio'n ddiogel, gan gynnwys sicrhau bod mesurau technegol a diogelwch priodol ar waith i amddiffyn eich data personol ac i amddiffyn data personol rhag colled, camddefnydd, mynediad heb awdurdod a datgeliad

Beth rydym yn ei wneud gyda'ch data

At ddibenion gorfodi'r gyfraith, gall HSE ddatgelu gwybodaeth bersonol i amrywiaeth o dderbynwyr gan gynnwys y rhai y ceir data personol ganddynt. Mae hyn yn cynnwys:

cyrff ac asiantaethau gorfodi'r gyfraith eraill yn ystod ymchwiliad
tystion arbenigol neu ymchwilwyr arbenigol sy'n gweithio ar ran HSE
ein cynghorwyr cyfreithiol allanol os ydym yn ystyried cymryd camau cyfreithiol
y llysoedd ac unrhyw gyd-ddiffynwyr a'u cynrychiolwyr cyfreithiol pan gymerir camau cyfreithiol

Cynhelir achosion llys yn gyhoeddus ac felly efallai y bydd data personol, gan gynnwys data categori arbennig, yn cael eu cyhoeddi yn ystod achosion llys.

Pan fyddwn yn erlyn rhywun yn llwyddiannus, efallai y byddwn yn cyhoeddi hunaniaeth yr unigolyn a gafwyd yn euog yn ein Hadroddiad Blynyddol, ar ein gwefan neu'n ei ddosbarthu'n ehangach i'r cyfryngau. Bydd hyn yn cyd-fynd ag unrhyw gyhoeddiadau a wnaed eisoes gan y llys.

Datgelir gwybodaeth bersonol fesul achos. Dim ond gwybodaeth berthnasol, sy'n benodol i'r pwrpas a'r amgylchiadau, a ddatgelir a chyda'r rheolaethau angenrheidiol ar waith.

Gellir rhannu'r data a gasglwn ag adrannau llywodraeth, asiantaethau a chyrff cyhoeddus eraill. Gellir eu rhannu hefyd â'n cyflenwyr technoleg, er enghraifft ein darparwr cynnal.

Byddwn yn rhannu eich data os yw'r gyfraith yn ei gwneud yn ofynnol i ni wneud hynny, er enghraifft, trwy orchymyn llys, neu i atal twyll neu drosedd arall. Gall hyn gynnwys:

y Swyddfa Gartref
llysoedd
corff rheoleiddio arall a all ddangos bod diben cyfreithlon dros brosesu eich data personol

Efallai y byddwn hefyd yn datgelu gwybodaeth bersonol yn ôl ein disgresiwn at ddibenion achos cyfreithiol neu i gael cyngor cyfreithiol.

Ni fyddwn yn:

gwerthu neu rentu eich data i drydydd partïon
rhannu eich data gyda thrydydd partïon at ddibenion marchnata

Ni fyddwn yn rhannu eich gwybodaeth ag unrhyw drydydd partïon at ddibenion marchnata uniongyrchol.

Am ba hyd y byddwn yn cadw eich data

Dim ond cyhyd ag y bo angen at y dibenion a nodir yn y ddogfen hon neu cyhyd ag y mae'r gyfraith yn ei gwneud yn ofynnol i ni wneud hynny y byddwn yn cadw eich data personol.

Bydd cofnodion sy'n cynnwys eich gwybodaeth bersonol a brosesir ar gyfer eich cofrestru yn cael eu rheoli yn unol â'r Cynllun Dosbarthu Busnes a'r Polisi Gwaredu (hse.gov.uk).

Diogelu preifatrwydd plant

Nid yw ein gwasanaeth wedi'i gynllunio ar gyfer plant 13 oed neu iau, nac wedi'i dargedu'n fwriadol atynt. Nid ydym yn casglu nac yn cynnal data yn fwriadol am unrhyw un o dan 13 oed.

Ble mae eich data yn cael eu prosesu a'u storio

Rydym yn dylunio, yn adeiladu ac yn rhedeg ein systemau i sicrhau bod eich data mor ddiogel â phosibl ym mhob cam, tra ei fod yn cael eu prosesu a phan gaiff eu storio.

Mae'r holl ddata personol yn cael eu storio yn y DU ac yn Ardal Economaidd Ewropeaidd (EEA).

Sut rydym yn amddiffyn eich data ac yn eu cadw'n ddiogel

Rydym yn cynnal monitro a gwiriadau rheolaidd i amddiffyn ein systemau gwybodaeth â llaw ac electronig rhag colli a chamddefnyddio data, a dim ond yn caniatáu mynediad iddynt pan fo rheswm dilys.

Mae ein gweithdrefnau gweithredu safonol a'n polisïau yn cynnwys canllawiau ynghylch pa ddefnydd y gellir ei wneud o unrhyw wybodaeth bersonol. Caiff y gweithdrefnau hyn eu hadolygu'n rheolaidd i sicrhau bod diogelwch yn cael ei gadw'n gyfredol.

Rydym hefyd yn sicrhau bod unrhyw drydydd partïon yr ydym yn delio â nhw yn cadw'r holl ddata personol y maent yn ei brosesu ar ein rhan yn ddiogel.

Hawliau Gwrthrychau Data

O dan ddeddfwriaeth Diogelu Data'r DU, mae gan wrthrychau data nifer o hawliau y gellir eu harfer mewn perthynas â data personol rydym yn eu prosesu amdanoch chi.

Weithiau mae angen i ni ofyn am wybodaeth benodol gennych i'n helpu i gadarnhau eich hunaniaeth a sicrhau eich awdurdod i arfer yr hawliau.

Hawl Mynediad

Gallwch ofyn am fynediad i'r data personol sydd gennym amdanoch chi yn rhad ac am ddim (ac eithrio ffi resymol os yw cais am fynediad yn amlwg yn ddi-sail neu'n ormodol ond rydym yn cytuno i'w gyflawni beth bynnag). Fel arfer, byddwn yn eu darparu o fewn mis i dderbyn eich cais oni bai bod esemptiad yn berthnasol.

Hawl i Gael eich Hysbysu

Mae gennych hawl i gael gwybod sut rydym yn cael eich gwybodaeth bersonol a sut rydym yn ei defnyddio, yn ei chadw ac yn ei storio, a gyda phwy rydym yn ei rhannu. Mae'r hysbysiad preifatrwydd hwn yn rhoi'r wybodaeth honno i chi, yn ogystal â dweud wrthych beth yw eich hawliau o dan y deddfau perthnasol.

Hawl i Gywiro

Os ydym yn dal data personol amdanoch sy'n anghywir neu'n anghyflawn, mae gennych yr hawl i ofyn i ni eu cywiro. Gallwch ofyn i ni gywiro eich data personol drwy gysylltu â [email protected]. Byddwn yn ateb i chi o fewn mis oni bai bod y cais yn gymhleth.

Hawl i Ofyn am Ddileu

O dan rai amgylchiadau, mae gennych yr hawl i ofyn i ni ddileu eich data personol i atal eu prosesu’n barhaus lle nad oes cyfiawnhad dros eu cadw. Yr amgylchiadau sydd fwyaf tebygol o fod yn berthnasol yw:

lle nad oes angen cadw eich data personol mwyach mewn perthynas â'r diben y gwnaethom eu casglu a'u prosesu ar ei gyfer yn wreiddiol
lle rydych chi'n tynnu eich caniatâd yn ôl i ni gadw eich data personol os ydym yn dibynnu ar eich caniatâd i'w cadw

Hawl i Gyfyngu ar Brosesu

O dan rai amgylchiadau mae gennych yr hawl i ofyn i ni gyfyngu ar brosesu eich data personol. Gall hyn fod mewn achosion lle:

rydych chi'n herio cywirdeb eich data personol tra ein bod ni'n gwirio'r cywirdeb
mae eich gwybodaeth wedi'i phrosesu'n anghyfreithlon ac rydych chi'n gwrthwynebu ei dileu ac wedi gofyn am gyfyngiad yn lle hynny
lle nad oes angen eich data personol arnom mwyach, ond mae eu hangen arnoch i sefydlu, arfer neu amddiffyn hawliad cyfreithiol ac nad ydych chi eisiau i ni eu dileu

Mae'n bwysig nodi nad yw hawliau mynediad gwrthrych a'r hawliau i gywiro, dileu a chyfyngu yn berthnasol i brosesu 'data personol perthnasol' yn ystod ymchwiliad troseddol neu achos troseddol.

Mae 'data personol perthnasol' yn golygu data personol sydd wedi'u cynnwys mewn penderfyniad barnwrol neu mewn dogfennau eraill sy'n ymwneud â'r ymchwiliad neu'r achos a grëir gan neu ar ran llys neu awdurdod barnwrol arall.

Esemptiadau a chyfyngiadau y gellir, mewn rhai amgylchiadau, eu cymhwyso'n gyfreithlon i atal unigolion rhag eu hawliau o dan fynediad gwrthrych yw:

cydymffurfio â rhwymedigaeth gyfreithiol
ar gyfer cyflawni tasg a gyflawnir er budd y cyhoedd neu wrth arfer awdurdod swyddogol
ar gyfer sefydlu, arfer neu amddiffyn hawliadau cyfreithiol
arfer yr hawl i ryddid mynegiant a gwybodaeth
at ddibenion archifo er budd y cyhoedd, ymchwil wyddonol, ymchwil hanesyddol neu ddibenion ystadegol lle mae dileu yn debygol o'i gwneud hi'n amhosibl cyflawni neu amharu'n ddifrifol ar y prosesu hwnnw

Nid yw'r Hawl i Wrthwynebu a'r Hawl i Gludadwyedd Data yn berthnasol i faes prosesu gorfodi'r gyfraith.