Eitem Rhaglen

Cyflwyno Adroddiad Blynyddol yr Uwch Berchennog Risg Gwybodaeth.

Cyflwynwyd adroddiad yr Uwch Berchennog Risg Gwybodaeth (UBRG) sy'n darparu dadansoddiad o'r materion llywodraethu gwybodaeth (LlG) allweddol am y cyfnod rhwng 1 Ebrill, 2018 a 31 Mawrth, 2019 i'w ystyried gan y Pwyllgor. Roedd yr adroddiad hefyd yn cynnwys sicrwydd o welliant parhaus o ran rheoli risg gwybodaeth yn ystod y cyfnod.

Adroddodd y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor) / Swyddog Monitro a'r Uwch Berchennog Risg Gwybodaeth dynodedig (UBRG) ar y prif bwyntiau fel a ganlyn  -

•           Cofnodwyd 29 o ddigwyddiadau diogelwch data yn ystod y cyfnod adrodd (20 yn 2017/18) ac roedd 26 ohonynt ar Lefel 0-1 (digwyddiadau trwch blewyn neu rai a gadarnhawyd fel digwyddiadau diogelwch data ond nad oedd angen adrodd i Swyddfa'r Comisiynydd Gwybodaeth (SCG) a rheoleiddwyr eraill amdanynt) a 3 ar Lefel 2 (digwyddiadau diogelwch data y mae'n rhaid rhoi gwybod amdanynt i’r SCG a rheoleiddwyr eraill sy'n briodol). Mae'r adroddiad yn darparu dadansoddiad o natur y digwyddiadau.

•           Derbyniwyd 1,052 o geisiadau o dan y Ddeddf Rhyddid Gwybodaeth yn ystod y cyfnod adrodd a oedd yn cynnwys cyfanswm o 7,532 o gwestiynau.

•           Cafwyd 20 cais am Adolygiad Mewnol o ymateb i gais dan y Ddeddf Rhyddid Gwybodaeth. Mewn 9 achos, cadarnhaodd yr adolygiad yr ymateb gwreiddiol; ni chadarnhawyd 1 achos ac anfonwyd ymateb Adran 1 newydd, a gwrthodwyd 1 cais gan fod ymateb wedi'i anfon cyn derbyn y cais am adolygiad mewnol.

•           Cyflwynwyd 6 apêl i'r SCG yn y cyfnod. Mewn 4 achos, gofynnwyd i'r Cyngor anfon ymateb; tynnwyd 1 achos yn ôl ac mewn 1 achos cadarnhawyd ymateb y Cyngor.

•           Gwnaed ac ymchwiliwyd i 8 cwyn dan y Ddeddf Diogelu Data – 2 cyn i’r Rheoliadau Diogelu Data Cyffredinol ddod i rym a 6 ar ôl iddynt ddod i rym. Nid ymchwiliodd yr SCG  i unrhyw gwynion Deddf Diogelu Data.

•           Derbyniwyd 46 o Geisiadau Gwrthrych am Wybodaeth gydag 81% o'r ymatebion yn cael eu hanfon o fewn y dyddiad cau statudol ar gyfer ceisiadau o’r fath a cheisiadau cymhleth.

•           Mae Swyddfa'r Comisiynwyr Pwerau Ymchwilio (IPCO) yn goruchwylio sut mae awdurdodau lleol yn cynnal gweithgareddau o ran ffynonellau gwyliadwriaeth a chudd-wybodaeth ddynol yn unol â Deddf yr Heddlu 1997 a Deddf Rheoleiddio Pwerau Ymchwilio 2000 (RIPA). Nod cyfundrefn RIPA yw sicrhau bod gwyliadwriaeth dan gyfarwyddyd yn digwydd mewn ffordd sy'n cydymffurfio â hawliau dynol. Ychydig iawn o ddefnydd y mae'r Cyngor yn ei wneud o wyliadwriaeth gudd a ffynonellau cudd-wybodaeth ddynol (cyfeirier at Atodiad 1 i'r adroddiad). Archwiliwyd prosesau ac arferion y Cyngor gan Swyddfa'r Comisiynwyr Pwerau Ymchwilio yn ystod mis Medi 2018 a chadarnhaodd yr archwiliad fod lefel cydymffurfiaeth y Cyngor yn golygu nad oedd angen unrhyw arolygiad corfforol ac mai’r cwbl yr oedd raid i’r Cyngor ei wneud oedd  cynnal adolygiad o’i awdurdodiad CHIS cyfredol, gwneud mân newidiadau i’w Ddogfennau a darparu hyfforddiant gloywi ar gyfer swyddogion awdurdodi ac ymgeiswyr.

•           Yn dilyn ymlaen o'r cyfnod cychwynnol o weithredu’r Rheoliadau Diogelu Data Cyffredinol (GDPR), ‘roedd dadansoddiad o ddogfennau sicrhau diogelwch data'r Cyngor yn awgrymu bod meysydd allweddol yr oedd gofyn eu datblygu ac ymchwilio ymhellach iddynt. Cafodd yr elfennau hyn eu hymgorffori mewn Cynllun Diogelu Data ar gyfer y Flwyddyn (Atodiad 2 i'r adroddiad). Mae'r Cynllun yn ceisio mynd i'r afael â materion sy'n peri'r risgiau uchaf i'r Cyngor yn y Gwasanaethau yr ystyrir eu bod yn risg uchel oherwydd natur y prosesu data personol sy'n digwydd ynddynt. Dyma pam y rhoddir sylw arbennig i’r Gwasanaethau Plant a Theuluoedd, Gwasanaethau Oedolion, y Gwasanaeth Dysgu (sy’n cynnwys yr Awdurdod Addysg Lleol) a’r Gwasanaeth Tai.

•           Mae pwysigrwydd hyfforddiant fel diogelwch ar gyfer sicrhau cydymffurfiaeth â gofynion diogelu data yn glir. Er bod y Cyngor wedi bod yn rhoi hyfforddiant ar faterion diogelu data ers 2013, roedd cyflwyno'r ddeddfwriaeth newydd ar ddiogelu data yn 2018 yn golygu bod rhaid rhoi hyfforddiant newydd yn gyffredinol. Mae'r adroddiad yn manylu ar yr hyfforddiant a ddarparwyd trwy'r modiwl E-ddysgu a gyflwynwyd i'r holl staff er mwyn sicrhau bod ganddynt lefel sylfaenol o wybodaeth am ofynion GDPR. Mae’r modiwl hefyd yn dangos lefelau cyfranogi pob gwasanaeth. Mae cyfranogiad Aelodau Etholedig ac Aelodau Cyfetholedig yn yr hyfforddiant diogelu data hefyd yn cael ei gofnodi.

•           Yn ogystal, datblygwyd modiwl hyfforddi a fwriadwyd ar gyfer swyddi y mae cofnod y Cyngor o ddigwyddiadau diogelwch data yn dangos bod ganddynt rôl allweddol i'w chwarae wrth sicrhau diogelwch data a chydymffurfiaeth â'r ddeddfwriaeth. Cyflwynwyd yr hyfforddiant i staff rheng flaen a rheolwyr canol oherwydd bod y swyddi hynny’n bwysig o ran sicrhau diogelwch data. Cynhaliwyd cyfres o sesiynau dan arweiniad hyfforddwr ar gyfer y staff hynny yr oedd eu Penaethiaid Gwasanaeth yn ystyried eu bod mewn swyddi allweddol -  dangosir lefelau presenoldeb ar gyfer pob gwasanaeth yn yr adroddiad ac nid ydynt ond yn cynnwys y rheini a enwebwyd i fynychu’r hyfforddiant gan eu Penaethiaid Gwasanaeth.

•           Ar wahân i hyfforddiant, yr elfen allweddol bwysicaf o’r Cynllun Gwaith oedd archwilio dibyniaeth Gwasanaethau'r Cyngor ar ganiatâd fel sail ar gyfer prosesu data personol. Mae'r ddeddfwriaeth newydd yn gosod dyletswydd ar y Cyngor i adolygu ei ddefnydd o ganiatâd ac i gymryd camau cywiro os nad caniatâd yw'r sail gyfreithiol briodol ar gyfer prosesu data personol. Mae’r archwiliad wedi arwain at fwy o wybodaeth am brosesau’r Gwasanaethau ac er bod y Gwasanaethau Cymdeithasol a’r Gwasanaethau Tai wedi gwneud cynnydd ardderchog gyda’r archwiliad, nid oedd y Gwasanaeth Dysgu wedi medru neilltuo’r adnoddau sydd eu hangen i flaenoriaethu’r gwaith hwn ac felly ychydig o gynnydd a wnaeth. Bydd y Gwasanaeth yn cael cymorth i sicrhau bod y gwaith wedi'i gwblhau erbyn mis Mawrth nesaf. ‘Roedd gwaith i sicrhau ansawdd yr archwiliad yn parhau ar ôl cyfnod yr adroddiad.

•           Mae'r adroddiad yn nodi'r camau a gymerwyd mewn perthynas â darparu sicrwydd Camerâu Goruchwylio, gan nodi hefyd nad yw'r Cyngor yn gyfrifol am sicrhau bod ysgolion yn cydymffurfio â'r ddeddfwriaeth a Chôd y Comisiynydd Camerâu  Goruchwylio.

Wrth drafod yr adroddiad, holodd y Pwyllgor am y gost o fynd i'r afael â'r 1,052 o geisiadau Deddf Rhyddid Gwybodaeth a dderbyniodd y Cyngor yn ystod y cyfnod ac a oes gan y Cyngor y capasiti i ddelio'n effeithiol â'r gwaith hwn o ystyried nifer y ceisiadau. Hefyd, gofynnodd y Pwyllgor am eglurhad ynghylch a yw peidio â bod yn ddigon agored neu dryloyw o ran argaeledd gwybodaeth yn ffactorau y gellir eu priodoli i’r cynnydd yn nifer y ceisiadau Rhyddid Gwybodaeth.

Dywedodd y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor) / Swyddog Monitro na wnaed amcangyfrif o'r gost o ran yr amser a gymerir gan y Swyddog i ddelio â Cheisiadau Rhyddid Gwybodaeth gan fod y gyfraith yn dweud bod rhaid i'r Cyngor ymateb i'r ceisiadau a darparu'r wybodaeth y gofynnir amdani oni bai bod rheswm da dros beidio (h.y. mae'r wybodaeth yn wybodaeth eithriedig). Manion na fyddai'r Cyngor yn eu cyhoeddi fel mater o drefn yw llawer o'r wybodaeth y gofynnir amdani. Fodd bynnag, mae'n ofynnol i'r Cyngor gael cynllun cyhoeddi a chyhoeddi gwybodaeth y mae'n rhesymol iddo ei chyhoeddi. Adolygwyd hyn yn ddiweddar. Mwyaf yn y byd o wybodaeth y mae'r Cyngor yn ei chyhoeddi fel mater o drefn, lleiaf yn y byd o geisiadau  Rhyddid Gwybodaeth a geir, ond, serch hynny, nid yw'n gwneud gwahaniaeth sylweddol o ran y niferoedd a dderbynnir. Mae cyflwyno’r rheoliadau GDPR wedi codi ymwybyddiaeth y cyhoedd ac o ganlyniad, mae'r cynnydd mewn ceisiadau Rhyddid Gwybodaeth yn batrwm sy'n cael ei ailadrodd ar draws y sector cyhoeddus. Mae'r capasiti i ddelio â cheisiadau Rhyddid Gwybodaeth yn ymestyn ar draws yr Awdurdod yn yr ystyr mai'r swyddogion a ddynodwyd i ddelio â Rhyddid Gwybodaeth yw'r rhai sy'n gwneud y gwaith yn eu meysydd ac sy'n ymateb i geisiadau Rhyddid Gwybodaeth fel rhan o'r dyletswyddau hynny. Er yr ystyrir bod y capasiti’n ddigonol ar hyn o bryd, gofynnwyd i'r Penaethiaid Gwasanaeth dynnu sylw at unrhyw faterion a allai godi, yn enwedig o ganlyniad i geisiadau mwy cymhleth a all gymryd llawer o amser.

Ar ôl ystyried yr adroddiad, penderfynwyd bod y Pwyllgor Archwilio a Llywodraethu yn derbyn ac yn mabwysiadu argymhellion yr adroddiad fel a ganlyn –

•           Bod yr holl Aelodau nad ydynt hyd yma wedi cyflawni'r modiwl diogelu data e-ddysgu yn gwneud hynny cyn pen tri mis i’r cyfarfod hwn.

•           Bod y Gwasanaeth Dysgu yn sicrhau bod adnoddau digonol yn cael eu neilltuo i sicrhau bod yr archwiliad caniatâd wedi'i gwblhau erbyn diwedd mis Mawrth, 2020.

•           Bod archwiliad y Cyngor o'i systemau camerâu goruchwylio’n cael ei gefnogi gan y gwasanaethau;

•           Bod y Swyddog Diogelu Data ar gyfer Ysgolion yn ystyried risgiau camerâu goruchwylio ac yn rhoi cefnogaeth ac arweiniad i ysgolion ar arferion gorau.

•           Bod y Pwyllgor yn cymeradwyo'r camau sy'n weddill yn y Cynllun Gweithredu ar gyfer Diogelu Data fel rhai sy'n adlewyrchu'r risgiau llywodraethu gwybodaeth y mae’r  Cyngor yn eu hwynebu ar hyn o bryd.

NI CHYNIGIWYD UNRHYW GAMAU GWEITHREDU YCHWANEGOL