Eitem Rhaglen

Cyflwyno adroddiad yr Uwch Berchennog Risg Gwybodaeth (UBRG).

Cyflwynwyd Adroddiad Blynyddol yr Uwch Berchennog Risg Gwybodaeth (UBRG) ar gyfer 2020/21 i'r Pwyllgor ei ystyried. Roedd yr adroddiad yn nodi datganiad a throsolwg yr UBRG o gydymffurfiad y Cyngor â'r gofynion cyfreithiol a'r codau ymarfer perthnasol wrth ymdrin â gwybodaeth gorfforaethol ac, yn Atodiadau 1 i 7 darparwyd data allweddol am lywodraethu gwybodaeth y Cyngor gan gynnwys cyswllt â rheoleiddwyr allanol, digwyddiadau diogelwch a thorri cyfrinachedd neu achosion y bu ond y dim iddynt ddigwydd, a cheisiadau Rhyddid Gwybodaeth a chwynion yn ystod y cyfnod.

Adroddodd y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/Swyddog Monitro ac Uwch Berchennog Risg Gwybodaeth dynodedig (UBRG) ar brif bwyntiau'r Adroddiad Blynyddol fel a ganlyn –

·         Archwiliwyd prosesau ac arferion y Cyngor o dan Ddeddf Rheoleiddio Pwerau Ymchwilio 2000 (RIPA) gan Swyddfa'r Comisiynwyr Pwerau Ymchwilio yn ystod y cyfnod dan sylw yn yr adroddiad. Roedd yr arolygiad yn ffafriol ac ni wnaed unrhyw argymhellion ffurfiol. Er bod y Cyngor yn gwneud defnydd cyfrifol ond cyfyngedig o RIPA, mae angen y rolau, y gweithdrefnau polisïau a'r hyfforddiant perthnasol a rhaid iddynt fod yn weithredol.

·         Cysylltodd Swyddfa'r Comisiynydd Gwybodaeth (SCG) â'r Cyngor mewn perthynas â 2 gŵyn diogelu data. Er nad ymchwiliwyd i'r materion yn y pen draw gan Swyddfa'r Comisiynydd Gwybodaeth, gofynnwyd i'r Cyngor adolygu ei ymatebion i'r achwynwyr a chymryd unrhyw gamau priodol i sicrhau yr ymdriniwyd â'r cwynion yn llawn. Mae'r cwynion wedi'u hadolygu a chwblhawyd materion. Cyflwynwyd un apêl i Swyddfa'r Comisiynydd Gwybodaeth yn y cyfnod hwn, ac fe’i cadarnhawyd.

·         Mae Swyddfa'r Comisiynydd Camerâu Goruchwylio yn goruchwylio cydymffurfiaeth â'r Cod Ymarfer Camerâu Goruchwylio. Mae'r Cyngor wedi bod yn defnyddio Asesiad Effaith Diogelu Data penodol y Comisiynydd Camerâu Goruchwylio ers 2019/20 ac mae bellach yn cael ei ddefnyddio gan y Cyngor pryd bynnag y cynigir system teledu cylch cyfyng newydd. Er na fu unrhyw gysylltiad rhwng y Cyngor a Swyddfa'r Comisiynydd Camerâu Goruchwylio yn ystod cyfnod yr adroddiad, gwnaed llawer iawn o waith yn y cyfnod hwnnw i gryfhau'r trefniadau gan gynnwys mynd i'r afael â'r bylchau llywodraethu sy'n gysylltiedig â systemau teledu cylch cyfyng hanesyddol a fodolai cyn cyflwyno Cod y Comisiynydd Camerâu Goruchwylio. Yn ystod cyfnod yr adroddiad, hyfforddwyd defnyddwyr a rheolwyr teledu cylch cyfyng ar elfennau diogelu data defnyddio teledu cylch cyfyng.

·         Yn ystod y flwyddyn, cofnodwyd 30 o ddigwyddiadau diogelwch data gan y Cyngor yn cynnwys 28 Lefel 0 -1 (achosion y bu ond y dim iddynt ddigwydd neu ddigwyddiadau a gadarnhawyd ond nid oes angen eu hadrodd i SCG/rheoleiddwyr eraill) a 2 ddigwyddiad Lefel 2 (digwyddiadau diogelwch data y mae'n rhaid rhoi gwybod i'r SCG amdanynt oherwydd y risg a gyflwynir gan y digwyddiad).

·         Derbyniwyd cyfanswm o 736 o geisiadau rhyddid gwybodaeth yn ystod y cyfnod rhwng 1 Ebrill, 2020 a 31 Mawrth, 2021 yn cynnwys 5,397 o gwestiynau unigol. Ceir dadansoddiad o'r ceisiadau fesul gwasanaeth ac yn ôl y math o ymgeisydd yn Atodiad 3 yr adroddiad. O'r 736 o geisiadau, arweiniodd 5 at adolygiad mewnol o'r ymatebion a wnaed gan y Cyngor, ac mae'r canlyniadau fel yr amlinellir.  Yn ei gyfarfod ym mis Medi 2020, trafododd y Pwyllgor y posibilrwydd y bydd y Cyngor yn sicrhau bod mwy o wybodaeth ar gael fel mater o drefn er mwyn rheoli effaith ceisiadau Rhyddid Gwybodaeth yn well. Er mwyn asesu p’un ai a yw cyhoeddi gwybodaeth yn rheolaidd gan y Cyngor yn ffactor effeithiol o ran lleihau effaith ceisiadau Rhyddid Gwybodaeth, paratowyd adnodd hunanasesu a'i ddosbarthu i wasanaethau'r Cyngor gyda phob un ar wahân i swyddogaeth Adnoddau yn cymryd rhan yn yr hunanasesiad. Nodir canlyniad yr hunanasesiad yn Atodiad 8 ac mae'n cadarnhau ei bod yn annhebygol y bydd cyhoeddi gwybodaeth yn lleihau nifer y ceisiadau gan mai anaml y mae cyhoeddi dogfennau'n rheolaidd yn darparu'r cyd-destun sydd ei angen ar ymgeiswyr Rhyddid Gwybodaeth. Mae tystiolaeth hefyd i awgrymu bod gwybodaeth a gyhoeddwyd yn arwain at geisiadau ychwanegol.

·         Derbyniwyd cyfanswm o 5 cwyn Deddf Diogelu Data yn ystod blwyddyn yr adroddiad. Ymchwiliwyd i 4 ohonynt ond ni chawsant eu cadarnhau. Yn y pedwar achos yma, canfuwyd bod trefn brosesu'r Cyngor yn cael ei hystyried yn gyfreithlon ac nad oedd hawliau gwrthrych y data yn cael eu peryglu.

·         Derbyniwyd cyfanswm o 24 o Geisiadau Gwrthrych am Wybodaeth (SAR); o'r 22 SAR yr ymatebwyd iddynt, anfonwyd 78% o'r ymatebion o fewn y terfyn amser. Mae dau SAR wedi'u gohirio yn amodol ar dderbyn y dystiolaeth angenrheidiol, a derbyniwyd un ar ddiwedd y cyfnod adrodd ac felly nid oedd yn rhaid ymateb o fewn cyfnod yr adroddiad. Gall y ceisiadau hyn fod yn gymhleth ac mae’n aml yn cymryd llawer o amser i ddelio â nhw. Datblygwyd methodoleg a darparwyd hyfforddiant.

·         Datblygwyd Cynllun Gwaith Diogelu Data yn y misoedd ar ôl gweithredu'r ddeddfwriaeth diogelu data newydd yn 2018 ac adroddwyd i'r Pwyllgor hwn. Mae pob elfen o'r cynllun gwaith hwnnw wedi'u cwblhau ers tro ar wahân i'r ddwy elfen a amlinellir yn y Tabl yn Atodiad 6 y gellir eu priodoli i'r Gwasanaeth Dysgu; mae'r elfennau hyn sy'n weddill yn ymwneud â'r angen i adolygu'r defnydd o gydsyniad fel sail gyfreithlon ar gyfer prosesu ac i ddatblygu a monitro ROPA Erthygl 30 y Cyngor.

·         Ceir amserlen o hyfforddiant Llywodraethu Gwybodaeth yn Atodiad 7; Mae 90% o'r staff a dargedwyd wedi cael hyfforddiant yn ystod cyfnod yr adroddiad a bydd Penaethiaid Gwasanaeth yn cael eu hannog i dargedu'r 10% sy'n weddill yn y cyfnod adrodd presennol.

·         Oherwydd y galw am gyngor gweithredol, buddsoddir yng nghapasiti llywodraethu gwybodaeth y Cyngor i ddarparu cymorth uniongyrchol i gleientiaid yn unol â rhwymedigaethau allweddol diogelu data sy'n golygu nad oes capasiti mwyach ar gyfer unrhyw gynlluniau strategol a chorfforaethol nad ydynt yn hanfodol. Cynigir felly, yn hytrach nag adrodd ar gynnydd gwasanaethau gyda chynlluniau gweithredu, y bydd sylw yn y dyfodol yn symud i geisio sicrwydd gan Benaethiaid Gwasanaethau fel Perchnogion Asedau Gwybodaeth ar feysydd cydymffurfio allweddol.

·         Y casgliad y daw’r UBRG iddo yw bod tystiolaeth ddogfennol sylweddol i ddangos bod trefniadau diogelu data a llywodraethu gwybodaeth y Cyngor yn dda. Mae'r asesiad hwn yn seiliedig ar y systemau, y prosesau, y polisïau a'r hyfforddiant llywodraethu gwybodaeth sydd gan y Cyngor ar waith sy'n rhoi sicrwydd bod y Cyngor yn ymwybodol o'r risgiau ac wedi cymryd camau priodol a rhesymol i liniaru'r risgiau hynny. Mae'r UBRG hefyd o'r farn bod llywodraethu gwybodaeth wedi'i wreiddio yn niwylliant gweithredol y Cyngor. Fodd bynnag, mae dau faes o hyd lle mae angen rhagor o waith mewn cysylltiad â'r tasgau na chwblhawyd gan y Gwasanaeth Dysgu ac Asesiadau o'r Effaith ar Ddiogelu Data teledu cylch cyfyng.

·         Yn y flwyddyn i ddod, bydd y ffocws ar gefnogi gwasanaethau gydag achosion penodol a darparu hyfforddiant parhaus; mae'r flwyddyn ddiwethaf wedi gweld ffyrdd newydd, gwahanol ac arloesol o weithio’n datblygu yn sgil Covid 19, gan gynnwys yn rhanbarthol ac yn genedlaethol, a fydd yn gofyn am amser a sylw. Yn ogystal â hyn, mae pecyn penodol ar gyfer Penaethiaid Gwasanaeth yn cael ei ddatblygu ochr yn ochr â system datganiad sicrwydd a fydd yn cael ei ategu gan hyfforddiant priodol.

Wrth ystyried yr adroddiad blynyddol, lefel cydymffurfio a'r risg y mae'n eu hadlewyrchu, cododd y Pwyllgor y pwyntiau canlynol –

·         Y camau sydd eu hangen ac y gellid eu cymryd yn ymarferol i alluogi'r UBRG i ddod i gasgliad bod trefniadau diogelu data a llywodraethu gwybodaeth y Cyngor yn dda iawn neu'n rhagorol. Gofynnodd y Pwyllgor hefyd am eglurder ynghylch y meini prawf ar gyfer asesu perfformiad gwasanaethau. Dywedodd y Swyddog Monitro/UBRG pe bai'r blaenoriaethau a'r meysydd ffocws fel yr amlinellir yn cael eu cyflawni a bod asesiad ansawdd y meysydd hyn yn foddhaol yna gallai fod yn bosibl uwchraddio'r gwerthusiad o drefniadau'r Cyngor. Y llynedd oedd y flwyddyn gyntaf yr oedd y UBRG o'r farn ei bod yn bosibl dynodi trefniadau'r Cyngor o dan y pennawd Da, felly mae'n mynd i’r cyfeiriad cywir. O ran asesu perfformiad gwasanaethau, y bwriad yw gweithio gyda Phenaethiaid Gwasanaethau a Chyfarwyddwyr i ddatblygu meini prawf penodol. Er nad oes cynsail ar gyfer gwaith o'r fath ymhlith awdurdodau lleol y gall y Cyngor fanteisio arnynt, nododd y Swyddog Monitro/UBRG y bydd meysydd perfformiad mewn perthynas â hyfforddiant, goruchwylio, cwynion ac amseroedd cyflawni yn cael eu hystyried a bydd llawer o'r elfennau corfforaethol yn cael eu cymhwyso i wasanaethau'n unigol. Y nod yw nodi unrhyw wendidau ar lefel gwasanaeth fel y gellir mynd i'r afael â nhw.

·         Nododd y Pwyllgor fod y Gwasanaeth Dysgu ym mis Mawrth 2021 yn dal heb gydymffurfio o ran gweithredu camau mewn perthynas â chwblhau'r archwiliad cydsyniad a gwaith cysylltiedig â'r ROPA; holodd y Pwyllgor a oedd yr UBRG yn gallu rhoi'r wybodaeth ddiweddaraf am unrhyw ddatblygiadau a allai fod wedi digwydd yn y cyfamser. Cadarnhaodd y Swyddog Monitro/UBRG nad yw'r sefyllfa wedi newid er bod y mater wedi’i godi gyda'r Gwasanaeth Dysgu ar sawl achlysur gan gynnwys mewn nifer o gyfarfodydd ac er gwaethaf cefnogaeth y Pwyllgor Llywodraethu ac Archwilio wrth wneud hynny. Dywed y Gwasanaeth Dysgu fod ganddo nifer o flaenoriaethau ac nad yw'r elfennau a amlygwyd ymysg y blaenoriaethau pwysicaf. Wrth ymateb i gwestiwn pellach, cadarnhaodd y Swyddog Monitro/UBRG fod y gwaith sy'n weddill yn statudol ac felly bod disgwyl i’r Gwasanaethau Dysgu gydymffurfio.

Yng ngoleuni'r eglurhad uchod, cynigiwyd, er mwyn cael sicrwydd ar y mater hwn, y dylid gofyn i'r Gwasanaeth Dysgu gyflwyno adroddiad i gyfarfod nesaf y Pwyllgor fan bellaf, gydag eglurhad o'i drefniadau ar gyfer cwblhau'r gwaith sy’n weddill sy'n cynnwys yr archwiliad cydsyniad a'r Cofnod o Weithgareddau Prosesu.

Penderfynwyd –

·         Derbyn datganiad yr UBRG.

·         Nodi bod yr archwiliad cydsyniad yn y Gwasanaeth Dysgu yn dal heb ei gwblhau.

·         Bod y Pwyllgor yn cymeradwyo bod gwaith y Cyngor i ddatblygu ei Erthygl 30 Cofnod o Weithgareddau Prosesu GDPR yn cael ei gefnogi gan y Gwasanaeth Dysgu;

·         Bod y Gwasanaeth Dysgu yn adrodd i gyfarfod nesaf y Pwyllgor fan bellaf gydag eglurhad o'i drefniadau ar gyfer cwblhau'r gwaith sy'n weddill fel y disgrifir uchod h.y. yr archwiliad cydsyniad a'r Cofnod o Weithgareddau Prosesu.

·         Bod adroddiadau'r UBRG yn y dyfodol i’r Pwyllgor Llywodraethu ac Archwilio ar adrodd ar sicrwydd a dderbyniwyd gan yr UBRG gan y Penaethiaid Gwasanaeth fel Perchnogion Asedau Gwybodaeth.