This is an HTML version of an attachment to the Freedom of Information request 'GDPR policy'.

Data Protection Policy  
Cyngor Tref Conwy Town Council is committed to protecting the rights and freedoms of data 
subjects  and  safely  and  securely  processing  their  data  in  accordance  with  all  of  our  legal 
We hold personal data about our employees, residents, and other individuals for a variety of 
This policy sets out how we seek to protect personal data and ensure that  we understand 
the rules governing the use of the personal data to which we have access in the course of 
delivering  our  services.  In  particular,  this  policy  requires  staff  to  ensure  that  the  Data 
Protection Officer (DPO) be consulted before any significant new data processing activity is 
initiated to ensure that relevant compliance steps are addressed. 


The purposes for which personal data may be used by us: 
Personnel,  administrative,  financial,  regulatory,  payroll  and  service 
development purposes including the following: 
Compliance  with  our  legal,  regulatory  requirements  and  good 
practice including compliance with employment contracts
Gathering information to enable us to deliver our services 

Operational  reasons,  such  as  recruitment,  recording 
transactions, training, security vetting, 
Investigating complaints and responding to enquiries 
Checking  references,  ensuring  safe  working  practices, 
monitoring and managing staff access to systems and facilities 
and staff absences, administration and assessments
Monitoring staff conduct, disciplinary matters 
Personal data 
‘Personal data’ means any information relating to an identified or identifiable 
natural person (‘data subject’); an identifiable natural person is one who can be 
identified, directly or indirectly, in particular by reference to an identifier such as 
a name, an identification number, location data, an online identifier or to one or 
more factors specific to the physical, physiological, genetic, mental, economic, 
cultural or social identity of that natural person. 
Personal data we gather may include; individuals' phone number, home address, 
email address, educational background, financial and pay details, details of 
education and skills, marital status, nationality, and CV. 

Special  categories  of  data  include  information  about  an  individual's  racial  or 
of  ethnic  origin,  political  opinions,  religious  or  similar  beliefs,  trade  union 
personal data 
membership  (or  non-membership),  physical  or  mental  health  or  condition, 
criminal offences, or related proceedings, and genetic and biometric information 
—any  use  of  special  categories  of  personal  data  should  be  strictly  controlled  in 
accordance with this policy. 
Data controller 
‘Data controller’ means the natural or legal person, public authority, agency or 
other body which, alone or jointly with others, determines the purposes and 
means of the processing of personal data; where the purposes and means of such 
processing are determined by law. 
Data processor 
‘Processor’ means a natural or legal person, public authority, agency or other 
body which processes personal data on behalf of the controller. 
‘Processing’ means any operation or set of operations which is performed on 
personal data or on sets of personal data, whether or not by automated means, 
such as collection, recording, organisation, structuring, storage, adaptation or 
alteration, retrieval, consultation, use, disclosure by transmission, dissemination 


or otherwise making available, alignment or combination, restriction, erasure or 
This is the national body responsible for data protection. The supervisory 
authority for our organisation is the Information Commissioners Office. 
This policy applies to all staff and councillors, who must be familiar with this policy and comply with 
its terms. 
This  policy  supplements  our  other  policies  relating  to  internet  and  email  use,  and  document 
retention We may supplement or amend this policy by additional policies and guidelines from time 
to time. Any new or modified policy will be circulated before being adopted. 
The principles 
Cyngor Tref Conwy Town Council shall comply with the principles of data protection (the Principles) 
enumerated  in  the  EU  General  Data  Protection  Regulation.  We  will  make  every  effort  possible  in 
everything we do to comply with these principles. The Principles are: 
1. Lawful, fair and transparent 
Data collection must be fair, for a legal purpose and we must be open and transparent as to how the 
data will be used. 
2. Limited for its purpose 
Data can only be collected for a specific purpose. 
3. Data minimisation 
Any data collected must be necessary and not excessive for its purpose. 
4. Accurate 
The data we hold must be accurate and kept up to date. 
5. Retention 
We cannot store data longer than necessary. 
6. Integrity and confidentiality 
The data we hold must be kept safe and secure. 
7. Accountability and transparency 
We must ensure accountability and transparency in all our use of personal data. We must show how 
we comply with each Principle. You are responsible for keeping a written record of how all the data 
processing activities you are responsible for comply with each of the Principles. This must be kept up 
to date and must be available to the DPO for auditing compliance with this policy. 


To comply with data protection laws and the accountability and transparency Principle of GDPR, we 
must demonstrate compliance. You are responsible for understanding your particular responsibilities 
to ensure we meet the following data protection obligations: 
•  Fully implement all appropriate technical and organisational measures; 
•  Maintain up to date and relevant documentation on all processing activities; 
•  Conducting data audits and risk assessments including Privacy Impact Assessments where 
these are required. 
•  Implement measures to ensure privacy by design and default: 
o  Data minimisation; 
o  Pseudonymisation where this is identified as necessary; 
o  Transparency; 
o  Allowing individuals to monitor processing; 
o  Creating and improving security and enhanced privacy procedures on an ongoing 
Our procedures 
Fair and lawful processing 
We must process  personal data  fairly and lawfully  in accordance with individuals’ rights  under the 
first  Principle.  This  generally  means  that  we  should  not  process  personal  data  unless  we  have  a 
lawful basis for processing the personal data. 
If  we  cannot  apply  a  lawful  basis  (explained  below),  our  processing  does  not  conform  to  the  first 
principle and will be unlawful. Data subjects  have the  right  to have  any  data unlawfully processed 
Data Controller 
Cyngor  Tref  Conwy  Town  Council  is  classified  as  a  data  controller  (and  we  also  process  data).  We 
must maintain our appropriate registration with the Information Commissioners Office in order to 
continue lawfully controlling and processing data. 
If you are in any doubt about how we handle data, contact the DPO for clarification. 
Lawful basis for processing data 
We must establish a lawful basis for processing data. Ensure that any data you are responsible for 
managing has a written lawful basis approved by the DPO. It is your responsibility to check the lawful 
basis for any data you are working with and ensure all of your actions comply the lawful basis. At 
least one of the following conditions must apply whenever we process personal data: 
1.  Consent 
We hold recent, clear, explicit, and defined consent for the individual’s data to be processed for a 
specific purpose. 
2.  Contract 
The processing is necessary to fulfil or prepare a contract for the individual. 


3.  Legal obligation 
We have a legal obligation to process the data (excluding a contract). 
4.  Vital interests 
Processing the data is necessary to protect a person’s life or in a medical situation. 
5.  Public Task 
Processing  necessary  to  carry  out  a  public  function, a  task of  public  interest or  the  function  has  a 
clear basis in law. 
6.  Legitimate interest 
The processing is  necessary for our legitimate interests. This condition does not  apply  if there  is a 
good reason to protect the individual’s personal data which overrides the legitimate interest. 
7.  Deciding which condition to rely on 
If you are making an assessment of the  lawful basis, you must first establish that the processing is 
necessary. This means the processing must be a targeted, appropriate way of achieving the stated 
purpose. You cannot rely on a lawful basis if you can reasonable achieve the same purpose by some 
other means. 
Remember  that  more  than  one  basis  may  apply,  and  you  should  rely  on  what  will  best  fit  the 
purpose, not what is easiest. 
Consider the following factors and document your answers: 
•  What is the purpose for processing the data? 
•  Can it reasonably be done in a different way? 
•  Is there a choice as to whether or not to process the data? 
•  Who does the processing benefit? 
•  After selecting the lawful basis, is this the same as the lawful basis the data subject would 
•  What is the impact of the processing on the individual? 
•  Are you in a position of power over them? 
•  Are they a vulnerable person? 
•  Would they be likely to object to the processing? 
•  Are you able to stop the processing at any time on request, and have you factored in how to 
do this? 
Our commitment to the first Principle requires us to document this process and show that we have 
considered  which  lawful  basis  best  applies  to  each  processing  purpose,  and  fully  justify  these 
We must also ensure that individuals whose data is being processed by us are informed of the lawful 
basis  for  processing  their  data,  as  well  as  the  intended  purpose.  This  should  occur  via  a  privacy 
notice. This applies whether we have collected the data directly from the individual, or from another 


If  you  are  responsible  for making  an  assessment of  the  lawful  basis  and  implementing  the  privacy 
notice for the processing activity, you must have this reviewed by the DPO. 
Special categories of personal data 
What are special categories of personal data? 
Previously  known  as  sensitive  personal  data,  this  means  data  about  an  individual  which  is  more 
sensitive,  so  requires  more  protection.  This  type  of  data  could  create  more  significant  risks  to  a 
person’s  fundamental  rights  and  freedoms,  for  example  by  putting  them  at  risk  of  unlawful 
discrimination. The special categories include, for example, information about an individual’s: 
•  Race; 
•  Ethnic origin; 
•  Politics; 
•  Religion; 
•  Trade union membership; 
•  Health. 
In most cases where we process special categories of personal data we will require the data subject's 
explicit consent to do this unless exceptional circumstances apply, or we are required to do this by 
law (e.g. to comply with legal obligations to ensure health and safety at work). Any such consent will 
need to clearly identify what the relevant data is, why it is being processed and to whom it will be 
The condition for processing special categories of personal data must comply with the law. If we do 
not have a lawful basis for processing special categories of data that processing activity must cease. 
Our responsibilities: 
•  Analysing and documenting the type of personal data we hold; 
•  Checking procedures to ensure they cover all the rights of the individual; 
•  Identify the lawful basis for processing data; 
•  Ensuring consent procedures are lawful; 
•  Implementing  and  reviewing  procedures  to  detect,  report  and  investigate  personal  data 
•  Store data in safe and secure ways; 
•  Assess  the  risk  that  could  be  posed  to  individual  rights  and  freedoms  should  data  be 
Your responsibilities: 
•  Fully understand your data protection obligations; 
•  Check that any data processing activities you are dealing with comply with our policy and are 
•  Do not use data in any unlawful way; 
•  Do  not  store  data  incorrectly,  be  careless  with  it  or  otherwise  cause  us  to  breach  data 
protection laws and our policies through your actions; 


•  Comply with this policy at all times; 
•  Raise  any  concerns,  notify  any  breaches  or  errors,  and  report  anything  suspicious  or 
contradictory to this policy or our legal obligations without delay. 
Responsibilities of the Data Protection Officer: 

•  Keeping the council updated about data protection responsibilities, risks and issues; 
•  Reviewing all data protection procedures and policies on a regular basis; 
•  Reviewing the data inventory; 
•  Conducting internal audits of compliance with the GDPR; 
•  Answering questions on data protection from staff and councillors; 
•  Checking and approving data processing agreements with third parties;  
•  Supporting the completion of Privacy Impact Assessments; 
•  Investigating and reporting data breaches. 
IT Security Responsibilities: 

•  Ensure all systems, services, software and equipment meet acceptable security standards; 
•  Checking and scanning security hardware and software regularly to ensure it is functioning 
•  Researching third-party services, such as cloud services the council is considering using to 
store or process data. 
Accuracy and relevance 
We will ensure that any personal data we process is accurate, adequate, relevant and not excessive, 
given  the  purpose  for  which  it  was  obtained.  We  will  not  process  personal  data  obtained  for  one 
purpose for any unconnected purpose unless the individual concerned has agreed to this or would 
otherwise reasonably expect this. 
Individuals  may  ask  that  we  correct  inaccurate  personal  data  relating  to  them.  If  you  believe  that 
information is inaccurate you should record the fact that the accuracy of the information is disputed 
and inform the DPO. 
Data security 
You  must  keep  personal  data  secure  against  loss  or  misuse.  Where  other  organisations  process 
personal  data  as  a  service  on  our  behalf,  contracts  must  be  implemented  with  those  third-party 
organisations including specific data security arrangements. 
Storing data securely: 
•  In  cases  when  data  is  stored  on  printed  paper,  it  should  be  kept  in  a  secure place  where 
unauthorised personnel cannot access it; 
•  Printed  data  should  be  shredded  when  it  is  no  longer  needed with  reference to  the  time 
limits in the council’s Document Retention Policy; 
•  Data  stored  on  a  computer  should  be  protected  by  strong  passwords  that  are  changed 
regularly.  We  encourage  all  staff  to  use  a  password  manager  to  create  and  store  their 
•  Data stored on CDs or memory sticks or plug in hard drives must be encrypted or password 
protected and locked away securely when they are not being used; 
•  The DPO must approve any cloud used to store data; 
•  Servers containing personal data must be kept in a secure location, away from general office 
space, and protected by security software; 


•  Data should be regularly backed up in line with the council’s backup procedures 
•  Personal Data should never be saved directly to mobile devices such as laptops, tablets or 
•  All possible technical measures must be put in place to keep data secure. 
Data retention 
We must retain personal data for no longer than is necessary. What is necessary will depend on the 
circumstances  of  each  case,  taking  into  account  the  reasons that  the  personal data  was  obtained, 
but should be determined in a manner consistent with our data retention guidelines as specified in 
our data retention policy. 
Transferring data internationally 
There  are  restrictions  on  international  transfers  of  personal  data  outside  the  EEA.  You  must  not 
transfer  personal  data  abroad,  or  anywhere  else  outside  of  normal  rules  and  procedures  without 
first securing an opinion from the DPO. 
Rights of individuals 
Individuals  have  rights  to  their  data  which  we  must  respect  and  comply  with  to  the  best  of  our 
ability. We must ensure individuals can exercise their rights in the following ways: 
1. Right to be informed: 
•  Providing privacy notices which are concise, transparent, intelligible and easily accessible, 
free of charge, that are written in clear and plain language, particularly if aimed at children; 
•  Keeping a record of how we use personal data to demonstrate compliance with the need for 
accountability and transparency. 
2. Right of access: 
•  Enabling individuals to access their personal data and supplementary information; 
•  Allowing individuals to be aware of and verify the lawfulness of the processing activities. 
3. Right to rectification: 
•  We must rectify or amend the personal data of the individual if requested because it is 
inaccurate or incomplete;  
•  This must be done without delay, and no later than one month. This can be extended to two 
months with permission from the DPO. 
4. Right to erasure: 
•  We must delete or remove an individual’s data if requested and there is no compelling 
reason for its continued processing. 
5. Right to restrict processing: 
•  We must comply with any request to restrict, block, or otherwise suppress the processing of 
personal data; 
•  We are permitted to store personal data if it has been restricted, but not process it further; 
•  We must retain enough data to ensure the right to restriction is respected in the future. 


6. Right to data portability: 
•  We must provide individuals with their data so that they can reuse it for their own purposes 
or across different services: 
•  We must provide it in a commonly used, machine-readable format, and send it directly to 
another controller if requested. 
7. Right to object: 
•  We must respect the right of an individual to object to data processing based on legitimate 
interest or the performance of a public interest task; 
•  We must respect the right of an individual to object to direct marketing, including profiling; 
•  We must respect the right of an individual to object to processing their data for scientific 
and historical research and statistics. 
8. Rights in relation to automated decision making and profiling: 
•  We must respect the rights of individuals in relation to automated decision making and 
•  Individuals retain their right to object to such automated processing, have the rationale 
explained to them, and request human intervention. 
Privacy notices 
When to supply a privacy notice 
A privacy notice must be supplied at the time the data is obtained if obtained directly from the data 
subject.  If  the  data  is  not  obtained  directly  from  the  data  subject,  the  privacy  notice  must  be 
provided within a reasonable period of having obtained the data, which mean within one month. 
If  the  data  is  being  used  to  communicate  with  the  individual,  then  the  privacy  notice  must  be 
supplied at the latest when the first communication takes place. 
If disclosure to another recipient is envisaged, then the privacy notice must be supplied prior to the 
data being disclosed. 
What to include in a privacy notice 
Privacy notices must be concise, transparent, intelligible and easily accessible. They are provided 
free of charge and must be written in clear and plain language, particularly if aimed at children 
The following information must be included in a privacy notice to all data subjects: 
•  Identification and contact information of the data controller and the data protection officer; 
•  The purpose of processing the data and the lawful basis for doing so; 
•  The legitimate interests of the controller or third party, if applicable; 


•  The right to withdraw consent at any time, if applicable;  
•  The category of the personal data (only for data not obtained directly from the data 
•  Any recipient or categories of recipients of the personal data; 
•  Detailed information of any transfers to third countries and safeguards in place; 
•  The retention period of the data or the criteria used to determine the retention period, 
including details for the data disposal after the retention period; 
•  The right to lodge a complaint with the ICO, and internal complaint procedures; 
•  The source of the personal data, and whether it came from publicly available sources (only 
for data not obtained directly from the data subject); 
•  Any existence of automated decision making, including profiling and information about how 
those decisions are made, their significances and consequences to the data subject; 
•  Whether the provision of personal data is part of a statutory of contractual requirement or 
obligation and possible consequences for any failure to provide the data (only for data 
obtained directly from the data subject). 
Subject Access Requests 
What is a subject access request? 
An individual has the right to receive confirmation that their data is being processed, access to their 
personal  data  and  supplementary  information  which  means  the  information  which  should  be 
provided in a privacy notice. 
How we deal with subject access requests 
We must provide an individual with a copy of the information the request, free of charge. This must 
occur  without  delay,  and  within  one  month  of  receipt.  We  endeavour  to  provide  data  subjects 
access to their information in commonly used electronic formats, and where possible, provide direct 
access to the information through a remote accessed secure system. 
If complying with the request is complex or numerous, the deadline can be extended by two months, 
but  the  individual  must  be  informed  within  one  month.  You  must  obtain  approval  from  the  DPO 
before extending the deadline.  
We  can  refuse  to  respond  to  certain  requests,  and  can,  in  circumstances  of  the  request  being 
manifestly unfounded or excessive, charge a fee. If the request is for a large quantity of data, we can 
request  the  individual  specify  the  information  they  are  requesting.  This  can  only  be  done  with 
express permission from the DPO. 
Once a subject access request has been made, you must not change or amend any of the data that 
has been requested. Doing so is a criminal offence. 
Right to erasure 
What is the right to erasure? 
Individuals have a right to have their data erased and for processing to cease in the following 

•  Where the personal data is no longer necessary in relation to the purpose for which it was 
originally collected and / or processed; 
•  Where consent is withdrawn; 
•  Where the individual objects to processing and there is no overriding legitimate interest for 
continuing the processing; 
•  The personal data was unlawfully processed or otherwise breached data protection laws 
•  To comply with a legal obligation; 
•  The processing relates to a child. 
How we deal with the right to erasure 
We can only refuse to comply with a right to erasure in the following circumstances: 
•  To exercise the right of freedom of expression and information; 
•  To comply with a legal obligation for the performance of a public interest task or exercise of 
official authority or the comply with a contract; 
•  For public health purposes in the public interest; 
•  For archiving purposes in the public interest, scientific research, historical research or 
statistical purposes; 
•  The exercise or defence of legal claims. 
If personal data that needs to be erased has been passed onto other parties or recipients, they must 
be  contacted  and  informed  of  their  obligation  to  erase  the  data.  If  the  individual  asks,  we  must 
inform them of those recipients. 
The right to object 
Individuals have the right to object to their data being used on grounds relating to their particular 
situation. We must cease processing unless: 
•  We have legitimate grounds for processing which override the interests, rights and 
freedoms of the individual. 
•  The processing relates to the establishment, exercise or defence of legal claims. 
(We must always inform the individual of their right to object at the first point of 
communication, i.e. in the privacy notice. We must offer a way for individuals to object online.) 
The right to restrict automated profiling or decision making 
We may only carry out automated profiling or decision making that has a legal or similarly significant 
effect on an individual in the following circumstances: 
•  It is necessary for the entry into or performance of a contract; 
•  Based on the individual’s explicit consent; 
•  Otherwise authorised by law. 

In these circumstances, we must: 
•  Give individuals detailed information about the automated processing; 
•  Offer simple ways for them to request human intervention or challenge any decision about 
•  Carry out regular checks and user testing to ensure our systems are working as intended. 
The right to data portability 
We must provide the data requested in a structured, commonly used and machine-readable format. 
We must  provide this data either to the  individual who has requested it, or to the data controller 
they have requested it be sent to. This must be done free of charge and without delay, and no later 
than  one  month.  This  can  be  extended  to  2  months  for  complex  or  numerous  requests,  but  the 
individual must be informed of the extension within 1 month and you must get an opinion from the 
DPO first. 
Third parties 
Using third party controllers and processors 
As  a  data  controller  we must  have  written  contracts  in  place with any  third-party  data  processors 
that  we  use.  The  contract  must  contain  specific  clauses  which  set  out  our  and  their  liabilities, 
obligations and responsibilities. 
As a data controller, we must only appoint processors who can provide sufficient guarantees under 
GDPR and that the rights of data subjects will be respected and protected. 
As  a  data  processor,  we  must  only  act  on  the  documented  instructions  of  a  controller.  We 
acknowledge  our  responsibilities  as  a  data  processor  under GDPR  and we  will protect  and  respect 
the rights of data subjects. 

Our  contracts must  comply  with  the  standards  set out  by  the  ICO  and,  where  possible,  follow  the 
standard contractual clauses  which are available. Our contracts  with data processors must  set out 
the subject matter and duration of the processing, the nature and stated purpose of the processing 
activities, the types of personal data and categories of data subject, and the obligations and rights of 
the controller. 
At a minimum, our contracts must include terms that specify: 
•  Acting only on written instructions; 
•  Those involved in processing the data are subject to a duty of confidence; 
•  Appropriate measures will be taken to ensure the security of the processing; 
•  Sub-processors will only be engaged with the prior consent of the controller and under a 
written contract; 
•  The controller will assist the processor in dealing with subject access requests and allowing 
data subjects to exercise their rights under GDPR; 

•  The processor will assist the controller in meeting its GDPR obligations in relation to the 
security of processing, notification of data breaches and implementation of Data Protection 
Impact Assessments; 
•  Delete or return all personal data at the end of the contract; 
•  Submit to regular audits and inspections and provide whatever information necessary for 
the controller and processor to meet their legal obligations; 
•  Nothing will be done by either the controller or processor to infringe on GDPR. 
Criminal offence data 
Criminal record checks 
Any criminal record checks are justified by law. Criminal record checks cannot be undertaken based 
solely on the consent of the subject. We cannot keep a comprehensive register of criminal offence 
data. All data relating to criminal offences is considered to be a special category of personal data and 
must be treated as such.  
Audits, monitoring and training 
Data audits 
Regular  data  audits  to  manage  and  mitigate  risks  will  inform  the  data  inventory.  This  contains 
information  on  what  data  is  held,  where  it  is  stored,  how  it  is  used,  who  is  responsible  and  any 
further regulations or retention timescales that may be  relevant. You must conduct  a regular data 
audit to ensure an up to date data inventory is maintained and make this available to the DPO. 
Everyone  must  observe  this  policy.  The  DPO  will  carry  out  periodic  internal  audits  to  monitor 
compliance of the council with this policy. The council will keep this policy under review and amend 
or change it as required. You must notify the DPO of any breaches of this policy. You must comply 
with this policy fully and at all times. 
You  will  receive  adequate  training  on  provisions  of  data  protection  law  specific  for  your  role.  You 
must complete all training as requested. If you move role or responsibilities, you are responsible for 
requesting new data protection training relevant to your new role or responsibilities.  
If you have queries on data protection matters, contact the DPO. 

Reporting breaches 
Any breach of this policy or of data protection laws must be reported as soon as practically possible. 
This  means  as  soon  as  you  have  become  aware  of  a  breach.  The  council  has  a  legal  obligation  to 
report any data breaches to the ICO within 72 hours.  
All members of staff have an obligation to report actual or potential data protection compliance 
failures. This allows us to: 
•  Investigate the failure and take remedial steps if necessary; 
•  Maintain a register of compliance failures; 
•  Notify the ICO of any compliance failures that are material either in their own right or as 
part of a pattern of failures. 
Any member of staff who fails to notify of a breach or is found to have known or suspected a breach 
has  occurred  but  has  not  followed  the  correct  reporting  procedures  will  be  liable  to  disciplinary 
Failure to comply 
We take compliance with this policy very seriously. Failure to comply puts both you and the 
organisation at risk. 
The importance of this policy means that failure to comply with any requirement may lead to 
disciplinary action under our procedures. 
Making Information Available 
The Publication Scheme is a means by which the Council can make a significant amount of 
information available routinely, without waiting for someone to specifically request it.  The scheme 
is intended to encourage local people to take an interest in the work of the Council and its role 
within the community.  
In accordance with the provisions of the Freedom of Information Act 2000, this Scheme specifies the 
classes of information which the Council publishes or intends to publish. It is supplemented with an 
Information Guide which will give greater detail of what the Council will make available and 
hopefully make it easier for people to access it. 
All  formal  meetings  of  Council  and  its  committees  are  subject  to  statutory  notice  being  given  on 
notice boards, the Website and sent to the local media. The Council publishes an annual programme 
in  May  each  year.  All  formal  meetings  are  open  to  the  public  and  press  and  reports  to  those 
meetings and relevant background papers are available for the public to see. The Council welcomes 
public participation and has a public participation session on each Council and committee meeting. 
Details  can  be  seen  in  the  Council’s  Standing  Orders,  which  are  available  on  its  Website  or  at  its 
Occasionally, Council or committees may need to consider matters in private. Examples of this are 
matters involving personal details of staff, or a particular member of the public, or where details of 
commercial/contractual  sensitivity  are  to  be  discussed.  This  will  only  happen  after  a  formal 
resolution has been passed to exclude the press and public and reasons for the decision are stated. 
Minutes from all formal meetings, including the confidential parts are public documents. 

The Openness of Local Government Bodies Regulations 2014 requires written records to be made of 
certain decisions taken by officers under delegated powers. These are not routine operational and 
administrative decisions such as giving instructions to the workforce or paying an invoice approved 
by  Council  but  would  include  urgent  action  taken  after  consultation  with  the  Chairman,  such  as 
responding to a planning application in advance of Council. In other words, decisions which would 
have been made by Council or committee had the delegation not been in place. 
The 2014 Regulations also amend the Public Bodies (Admission to Meetings) Act 1960 to allow the 
public or press to film, photograph or make an audio recording of council and committee meetings 
normally  open  to  the  public.  The  Council  will  where  possible  facilitate  such  recording  unless  it  is 
being disruptive. It will also take steps to ensure that children, the vulnerable and members of the 
public  who object  to  being  filmed are  protected  without  undermining  the  broader  purpose  of  the 
The Council will be pleased to make special arrangements on request for persons who do not have 
English as their first language or those with hearing or sight difficulties.  
Disclosure Information 
The Council will as necessary undertake checks on both staff and Members with the the Disclosure 
and  Barring  Service  and  will  comply  with  their  Code  of  Conduct  relating  to  the  secure  storage, 
handling,  use,  retention  and  disposal  of  Disclosures  and  Disclosure  Information.  It  will  include  an 
appropriate operating procedure in its integrated quality management system.  
Data Transparency 
The Council has resolved to act in accordance with the Code of Recommended Practice for Local 
Authorities on Data Transparency (September 2011). This sets out the key principles for local 
authorities in creating greater transparency through the publication of public data and is intended to 
help them meet obligations of the legislative framework concerning information. 
“Public  data” means the  objective,  factual  data  on  which  policy  decisions  are  based  and  on  which 
public  services  are  assessed,  or  which  is  collected  or  generated  in  the  course  of  public  service 
The Code will therefore underpin the Council’s decisions on the release of public data and ensure it 
is proactive in pursuing higher standards and responding to best practice as it develops. 
The principles of the Code are 
Demand led: new technologies and publication of data should support transparency and 
Open: the provision of public data will be integral to the Council’s engagement with residents so that 
it drives accountability to them. 
Timely: data will be published as soon as possible following production. 
Government has also issued a further Code of Recommended Practice on Transparency, compliance 
of  which  is  compulsory  for  parish  councils  with  turnover  (gross  income  or  gross  expenditure)  not 
exceeding  £25,000  per  annum.  These  councils  will  be  exempt  from  the  requirement  to  have  an 
external  audit  from  April  2017.    (Your  Council  Name)  exceeds  this  turnover  but  will  nevertheless 
ensure the following information is published on its Website for ease of access: 

•  All transactions above £100; 
•  End of year accounts; 
•  Annual Governance Statements; 
•  Internal Audit Reports; 
•  List of Councillor or Member responsibilities; 
•  Details of public land and building assets; 
•  Draft minutes of Council and committees within one month 
•  Agendas and associated papers no later than three clear days before the meeting. 
Adopted by Cyngor Tref Conwy Town Council at Full Council Meeting held on 08/05/2020