Eitem Rhaglen

Cyflwyno adroddiad y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/ Swyddog Monitro.

Cyflwynwyd Adroddiad Blynyddol yr Uwch Berchennog Risg Gwybodaeth ar gyfer 2019/20 i'r Pwyllgor ei ystyried. Roedd yr adroddiad yn darparu datganiad a throsolwg gan yr Uwch Berchennog Risg Gwybodaeth o sut mae’r Cyngor yn cydymffurfio â gofynion cyfreithiol a'r codau ymarfer perthnasol wrth ymdrin â gwybodaeth gorfforaethol. Yn Atodiadau 1 i 7 darparwyd gwybodaeth am y cyswllt sydd gan y Cyngor gyda rheolyddion allanol ac mae ynddo wybodaeth hefyd am ddigwyddiadau diogelwch, achosion o dorri cyfrinachedd, neu “ddigwyddiadau ond y dim” ynghyd â cheisiadau Rhyddid Gwybodaeth a chwynion yn ystod y cyfnod.

Tynnodd y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/Swyddog Monitro ac Uwch Berchennog Risg Gwybodaeth sylw at y prif bwyntiau a gododd ar yr Adroddiad Blynyddol fel a ganlyn -

•           Mai hon oedd y flwyddyn gyntaf i’r Uwch Berchennog Risg Gwybodaeth (UBRG) deimlo y gallai ddatgan yn hyderus bod tystiolaeth sylweddol wedi’i chofnodi i ddangos bod trefniadau'r Cyngor ar gyfer diogelu data a llywodraethu gwybodaeth yn dda ac nid yn foddhaol yn unig fel y bu'r farn yn y blynyddoedd blaenorol.

•           Mae'r asesiad hwn yn seiliedig ar y systemau, y prosesau, y polisïau a'r hyfforddiant llywodraethu gwybodaeth a weithredir gan y Cyngor sydd wedi'u cryfhau yn ystod y flwyddyn ddiwethaf. Mae'r adroddiad hefyd yn darparu tystiolaeth o sut mae'r Cyngor yn ymdrin â data, a barn yr Uwch Berchennog Risg Gwybodaeth ar sail ystyriaeth, yw bod y gwaith penodol hwn wedi aros yn sefydlog ers peth amser. Hefyd, mae'r Uwch Berchennog Risg Gwybodaeth o'r farn bod llywodraethu gwybodaeth bellach wedi'i wreiddio yn niwylliant gweithredol y Cyngor a bod hyn wedi'i amlygu yn ystod yr ymateb i'r Pandemig.

•           Bod natur y ceisiadau am arweiniad a chymorth y Gwasanaeth Cyfreithiol wedi newid; yn y gorffennol roedd gwasanaethau'n amharod i rannu achosion o dorri data neu ofyn am gyngor arnynt, yn ystod y blynyddoedd diwethaf mae gwasanaethau wedi symud ymlaen i ofyn am gyngor y Gwasanaeth Cyfreithiol ar sut i ymateb i achosion o dorri data ond erbyn hyn mae gwasanaethau'n gofyn am gymeradwyaeth y Gwasanaeth Cyfreithiol i'r camau y maent yn bwriadu eu cymryd mewn ymateb i ddigwyddiadau data a nodwyd yn unol â'r hyn y maent yn ei ddeall yw'r disgwyliadau.

•           Mae atodiadau 2,3, 4 a 5 yn dangos patrwm o weithredu cadarn o ran ymdrin â cheisiadau penodol am wybodaeth o ddydd i ddydd e.e..

•           O'r 6,905 o gwestiynau Rhyddid Gwybodaeth a gyflwynwyd ac yr ymdriniwyd â nhw, arweiniodd 12 at geisiadau am adolygiad mewnol o'r penderfyniad a wnaed gan y Cyngor gyda'r penderfyniad gwreiddiol yn cael ei gadarnhau mewn 9 achos; arweiniodd 2 achos at newid ymateb Gwasanaeth y Cyngor a chyhoeddi hysbysiadau gwrthod newydd ac mewn un achos penderfynwyd y dylid bod wedi cyflwyno hysbysiad gwrthod Adran 21 gan fod y wybodaeth ar gael i'r ymgeisydd drwy ddulliau eraill. Cyflwynwyd cyfanswm o 3 apêl Rhyddid Gwybodaeth i'r Swyddfa'r Comisiynydd Gwybodaeth (SCG) yn ystod y cyfnod hwn - tynnwyd un ohonynt yn ôl; yn un o'r ddau achos arall roedd yn ofynnol i'r Cyngor roi cyngor a chymorth i'r sawl oedd yn gwneud cais o fewn amserlen benodedig ac yn yr achos arall roedd yn ofynnol i'r Cyngor ymateb o fewn 10 diwrnod gwaith.

•           O'r 7 cwyn dan y Ddeddf Diogelu Data i'r Cyngor, ni chadarnhawyd yr un o'r cwynion; roedd prosesu'r Cyngor yn gyfreithlon ac nid oedd modd arfer hawliau gwrthrych y data. Cysylltodd y Comisiynydd Gwybodaeth â'r Cyngor mewn perthynas â thair cwyn dan y Ddeddf Diogelu Data ac er nad ymchwiliwyd i'r materion yn y pen draw gan y SCG, gofynnwyd i'r Cyngor adolygu ei ymatebion a chymryd unrhyw gamau i sicrhau yr ymdriniwyd â'r cwynion yn llawn. Gwnaed hyn.

•           O'r 24 o Geisiadau Gwrthrych am Wybodaeth a dderbyniwyd, anfonwyd 83% o'r ymatebion o fewn y terfyn amser o fis. Roedd yr ymatebion i dri o'r ceisiadau ychydig ddyddiau'n hwyr; roedd un cais yn gymhleth a chymerodd 3 mis i ymateb iddo (mis yn hirach na'r amserlen statudol a ganiateir ar gyfer achosion cymhleth).

•           Yn ystod y cyfnod gwnaeth y Cyngor 2 gais llwyddiannus am awdurdodiadau Ffynonellau Cudd-wybodaeth Ddynol (CHIS).

•           Yn ystod cyfnod yr adroddiad, diwygiwyd polisi a gweithdrefnau'r Cyngor o dan Ddeddf Rheoleiddio Pwerau Ymchwilio 2000 (RIPA) a darparwyd hyfforddiant i staff gweithredol. Cyflwynwyd y defnydd o Asesiadau o'r Effaith ar Ddiogelu Data a Chanllawiau'r Comisiynydd Camerâu Gwyliadwriaeth a chrëwyd cofrestr o systemau, rheolwyr a gweithredwyr teledu cylch cyfyng. Datblygwyd polisi teledu cylch cyfyng newydd hefyd.

•           Adolygwyd polisïau llywodraethu gwybodaeth y Cyngor a sicrhawyd ansawdd yn ystod y cyfnod (gweler Atodiad 6). Adolygwyd deg polisi allweddol i sicrhau cydymffurfiaeth â chanllawiau presennol y SCG a chyfraith achosion. Disgwylir i'r polisïau gael eu hadolygu nesaf yn 2022.

•           Datblygwyd cynllun gwaith ar gyfer diogelu data yn y misoedd ar ôl gweithredu'r ddeddfwriaeth diogelu data newydd yn 2018. Ceir crynodeb o'r cynllun gwaith presennol hyd at fis Mawrth 2021 yn Atodiad 7. Rhoddir sylw i'r eitemau y dangosir bod angen eu cwblhau cyn gynted ag y gall y Gwasanaethau ailafael yn y gwaith. Mae archwiliad o'r defnydd o gydsyniad fel sail gyfreithlon ar gyfer prosesu wedi'i gwblhau ym mhob gwasanaeth ar wahân i'r Gwasanaeth Dysgu. Cafodd y gwaith a oedd wedi'i ail-gychwyn ei ohirio gan Covid-19 ond bwriedir iddo ail-gychwyn eto yn ystod 2020. Mae bwriad hefyd i waith ail-gychwyn datblygu a monitro ei Gofnod o Weithgareddau Prosesu dan Erthygl 30.

Mewn ymateb i gwestiynau a godwyd gan y Pwyllgor yn benodol mewn perthynas â goblygiadau risg yr archwiliad sydd angen ei gwblhau yn y Gwasanaeth Dysgu, pwysau llwyth gwaith a grëir gan nifer y ceisiadau Rhyddid Gwybodaeth o flwyddyn i flwyddyn a rheoli teledu cylch cyfyng eglurodd y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/Swyddog Monitro ymhellach -

•           O dan y ddeddfwriaeth diogelu data newydd a ddaeth i rym yn 2018, mae'n ofynnol i wasanaethau ddangos eu bod yn prosesu data personol o dan awdurdod statudol os oes awdurdod statudol yn bodoli ac nad ydynt yn dibynnu ar gydsyniad yn unig oherwydd bod hynny'n golygu risg. Nid oedd y Gwasanaeth Dysgu yn gallu neilltuo unrhyw adnoddau mewnol i ymgymryd â'r gwaith ac nid oedd Gwasanaethau Cyfreithiol yn ei dro yn gallu ymgymryd ag ef ar eu rhan. Er bod y Cyfarwyddwr Addysg, Sgiliau a Phobl Ifanc wedi ymrwymo i gynnal yr archwiliad, mae'r amgylchiadau presennol yn golygu bod y Gwasanaeth Dysgu yn canolbwyntio adnoddau ar gael disgyblion yn ôl i'r ysgol gan ei gwneud yn anodd i'r gwasanaeth bennu amserlen ar gyfer cwblhau'r gwaith archwilio. Mae peidio â chwblhau'r archwiliad yn gwneud y gwasanaeth yn agored i lefel bosibl o risg nad yw'n berthnasol i'r gwasanaethau eraill sydd wedi cydnabod y sail statudol ar gyfer prosesu data personol ac sydd felly mewn llai o risg y byddai unigolion sy'n anhapus â'r ffordd y proseswyd eu data yn gallu gwneud cwyn ddilys.

•           Bod nifer y ceisiadau Rhyddid Gwybodaeth yn cynyddu o flwyddyn i flwyddyn ym mhob awdurdod lleol wrth i ymwybyddiaeth y cyhoedd o hawliau gynyddu. Nifer y ceisiadau cyffredinol oedd tua 1500 – mae'r ffigur yn yr adroddiad yn cynnwys nifer y cwestiynau unigol a ofynnwyd er mwyn rhoi syniad o lefel y galw. Cyflwynir rhai ceisiadau fel cwestiynau lluosog ac mae rhai gwasanaethau'n derbyn llawer mwy o ymholiadau nag eraill. Mae'r nifer yn uchel ac yn parhau i godi, a’r llwyth gwaith yn ei sgil.

•           O ran rheoli teledu cylch cyfyng mae Penaethiaid Gwasanaethau unigol drwy eu staff yn gweithredu, yn rheoli ac yn goruchwylio'r systemau o dan eu hawdurdod. Mae'r newid mewn polisi yn golygu sicrhau bod yr amgylchiadau lle y gall gwasanaethau ddatblygu systemau’n cael eu goruchwylio’n gorfforaethol.

Ar ôl ystyried yr adroddiad, penderfynodd y Pwyllgor Archwilio a Llywodraethu  –

•           Dderbyn datganiad yr Uwch Berchennog Risg Gwybodaeth ar gyfer y cyfnod rhwng mis Ebrill, 2019 a mis Mawrth, 2020.

•           bod y Gwasanaeth Dysgu yn sicrhau bod adnoddau digonol yn cael eu neilltuo i sicrhau bod yr archwiliad cydsyniol y trefnwyd i’w gynnal ers tro yn cael ei gwblhau.

•           bod gwasanaethau'n cefnogi bod y Cyngor yn datblygu ei Gofnod o Weithgareddau Prosesu dan Erthygl 30 y GDPR.

•           bod y Pwyllgor yn cymeradwyo unrhyw gamau sydd ar ôl i'w cymryd yn y Cynllun Gwaith ar gyfer Diogelu Data fel rhai sy'n adlewyrchu'r risgiau llywodraethu gwybodaeth y mae'r Cyngor yn eu hwynebu.

NI CHYNIGIWYD UNRHYW GAMAU YCHWANEGOL