Eitem Rhaglen

Cyflwyno adroddiad y Cyfarwyddwr Addysg, Sgiliau a Phobl Ifanc.

Cyflwynwyd, i sylw’r Pwyllgor, adroddiad y Swyddog Diogelu Data Ysgolion yn nodi’r materion llywodraethu gwybodaeth allweddol mewn ysgolion am y cyfnod Tachwedd, 2021 i Ionawr, 2023 ynghyd â’r blaenoriaethau cyfredol. Cyflwynai’r adroddiad ddatganiad a throsolwg y Swyddog o ysgolion cynradd, uwchradd ac arbennig Ynys Môn a’u cydymffurfiaeth â gofynion cyfreithiol wrth ymdrin â gwybodaeth yn ystod y cyfnod, gan gynnwys cydymffurfio â Rheoliadau Diogelu Data Cyffredinol y Deyrnas Unedig (UK GDPR), Deddf Diogelu Data 2018 ac â chodau ymarfer perthnasol.

Wrth gyflwyno ei dadansoddiad o’r sefyllfa, cadarnhaodd y Swyddog fod cynnydd sylweddol wedi’i wneud ers cyhoeddi’r adroddiad diwethaf ym mis Tachwedd, 2021 o ran sicrhau bod ysgolion wedi rhoi’r polisïau a’r gweithdrefnau angenrheidiol yn eu lle er mwyn cydymffurfio â gofynion dan ddeddfwriaeth diogelu data. Roedd arferion rheoli gwybodaeth beunyddiol yr ysgolion wedi parhau i wella ac roedd ysgolion bellach yn dangos eu bod yn deall eu cyfrifoldebau a’u goblygiadau fel rheolydd data a’r disgwyliadau cyfreithiol a ddeuai yn sgil hynny. Roedd y rhan fwyaf o staff ysgolion wedi cael hyfforddiant ar ddiogelu data yn ystod y flwyddyn ddiwethaf a bu hyn yn gymorth i ysgolion wella eu harferion. At hyn, roedd ugain o gyrff llywodraethu ysgolion hefyd wedi cael cyflwyniad diogelu data. Roedd ysgolion wedi mabwysiadu’r mwyafrif o’r polisïau’n ffurfiol ac yn y broses o fabwysiadu’r pecyn polisïau terfynol a ddylai sicrhau eu bod yn gallu mynd i’r afael â gofynion atebolrwydd y GDPR. Er ei bod yn seiliedig ar ei hasesiad, roedd y Swyddog wedi gallu rhoi barn sicrwydd rhesymol bod yr ysgol yn cydymffurfio â deddfwriaeth a gofynion diogelu data. Roedd angen gwneud rhagor o waith, fel y manylir yn yr adroddiad, yn benodol mewn perthynas â rheoli’r risgiau diogelu data a ddeilliai o ddefnyddio systemau gwahanol ac adolygu trefniadau gyda phroseswyr data gan gynnwys sicrhau bod cytundebau gan ddarparwyr yn bodloni gofynion.

Croesawodd y Pwyllgor yr adroddiad gan nodi ei fod yn gynhwysfawr a llawn gwybodaeth a chodwyd y materion a ganlyn yn ystod y drafodaeth a ddilynodd -

·           Y byddai cynnwys rhestr acronymau/termau mewn adroddiadau blynyddol yn y dyfodol o gymorth mawr

·           Yr amserlen ar gyfer cwblhau’r gwaith pellach a nodwyd, a ph’run a oedd holl ysgolion yr Ynys bellach wedi’u hasesu ac wedi cofrestru i gael cymorth ac arweiniad trwy Gytundeb Lefel Gwasanaeth.

·           Cadarnhaodd y Swyddog fod y 45 o ysgolion y cyfeirir atynt yn yr adroddiad yn cynnwys holl ysgolion cynradd ac uwchradd Ynys Môn, ynghyd â Chanolfan Addysg y Bont ac eithrio Ysgol Sefydledig Caergeiliog. Dywedodd fod yr atodlen yn Strategaeth Datblygu Diogelu Data Ysgolion Ynys Môn yn Atodiad B yn nodi'r dyddiadau cwblhau targed ar gyfer y gweithgareddau a amlinellwyd a'r nod oedd cwblhau’r holl brif elfennau erbyn diwedd y flwyddyn ysgol gyfredol.

·           Yr hyn yr oedd y gwaith pellach gydag ysgolion yn ei olygu er mwyn sicrhau eu bod yn cydymffurfio'n llawn â rheoliadau a gofynion diogelu data.

·           Dywedodd y Swyddog mai rhan o'i rôl oedd cynnal archwiliad diogelu data blynyddol o bob un o'r 45 ysgol unigol i adolygu a gydymffurfir â threfniadau diogelu data, gyda dau archwiliad o'r fath o'r holl ysgolion wedi'u cwblhau hyd yma. Ar gyfer ymweliad archwilio 2023, byddai'n canolbwyntio ar sicrhau bod gan bob ysgol Gofnod o Weithgareddau Prosesu (RoPA) cywir a chyfredol; eu bod yn monitro’u cydymffurfiaeth â'r holl bolisïau diogelu data ac yn gallu tystio i hyn; bod ganddynt gytundebau diogelu data priodol yn eu lle gyda phroseswyr data h.y. y cwmnïau hynny yr oeddynt yn caffael systemau, rhaglenni ac apiau ganddynt a bod asesiadau o Effaith y Diogelu Data wedi’u cwblhau yng nghyswllt meysydd prosesu data risg uchel, megis camerâu teledu cylch cyfyng.

·           Darparu hyfforddiant, yn benodol nifer y staff ysgol oedd wedi cael yr hyfforddiant diogelu data angenrheidiol a ph’run a oedd unrhyw ysgolion nad oeddynt wedi cael hyfforddiant hyd yma.

·           Cadarnhaodd y Swyddog fod y mwyafrif o’r ysgolion bellach wedi cael hyfforddiant diogelu data gyda'r rhan fwyaf wedi'u cynnal ar-lein, gyda'r ysgolion eu hunain yn cadw cofnod o’r rhai a ddaeth i bob sesiwn. Gan fod y trefniadau wedi eu gwneud naill ai ar sail dalgylch neu ysgol unigol, ni allai ddweud faint o staff oedd wedi bod am hyfforddiant. Fodd bynnag, roedd hi'n ymwybodol nad oedd rhai ysgolion wedi derbyn y sesiwn sylfaenol ac y byddai'n dilyn hyn i fyny i sicrhau bod yr holl ysgolion eraill yn cael hyfforddiant ar yr holl elfennau diogelu data allweddol.

·           Rôl Cwmni CELyn. Eglurodd y Swyddog mai cwmni annibynnol o Gaernarfon oedd hwn a roddai gyngor arbenigol ar lywodraethu gwybodaeth a diogelu data i'r cyngor hwn ac i gynghorau eraill.

·           P’run a oedd gan ysgolion yr ymreolaeth i gaffael pecynnau meddalwedd yn unol â'u hanghenion a ph’run a oedd unrhyw fesurau a/neu asesiad yn yr achos hwnnw i sicrhau bod meddalwedd o'r fath yn briodol ac yn cydymffurfio â GDPR a'r Ddeddf Diogelu Data.

·           Dywedodd y Swyddog ei bod wedi cwblhau asesiadau manwl o Gytundebau Prosesu Data ar gyfer y systemau, y rhaglenni a’r apiau yr oedd y mwyafrif o ysgolion yn eu defnyddio er mwyn cyflwyno asesiad risg cyffredinol i ysgolion ynghylch y cytundebau presennol yr oedd ganddynt. Fel arfer, pe bai ysgol yn dymuno cofrestru gyda’r ap, byddai'r Swyddog yn asesu'r cytundeb gyda'r darparwr yn y lle cyntaf i sicrhau ei fod yn cynnwys yr holl gydrannau diogelu data gofynnol. Mewn ymateb i ymholiad pellach, cadarnhaodd y byddai'n rhaid ymgynghori â'r Gwasanaeth TG cyn y gall ysgolion uwchlwytho/osod unrhyw raglen neu system er bod gan ysgolion annibyniaeth fel rheolydd data oherwydd eu bod wedi'u cysylltu â'r rhwydwaith HWB.

Penderfynwyd –

·      Derbyn adroddiad a datganiad y Swyddog Diogelu Data Ysgolion.

·      Cymeradwyo camau nesaf arfaethedig y Swyddog Diogelu Data Ysgolion – Cynllun Diogelu Data Ysgolion fel bod modd i ysgolion weithredu’n llawn yn unol â gofynion diogelu data.

Dim angen gweithredu pellach