Eitem Rhaglen

Cyflwyno adroddiad y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/ Swyddog Monitro.

Cyflwynwyd, i’r Pwyllgor ei ystyried, adroddiad y Cyfarwyddwr Swyddogaeth (Busnes y Cyngor)/Swyddog Monitro a oedd yn cynnwys dadansoddiad o faterion llywodraethu gwybodaeth allweddol ar gyfer y cyfnod rhwng 1 Ebrill 2023 a 31 Mawrth 2024, gan gynnwys y risgiau gwybodaeth presennol a’r mesurau lliniaru. Roedd yr adroddiad yn darparu datganiad a throsolwg yr Uwch Berchennog Risg Gwybodaeth ynglŷn â’r modd yr oedd y Cyngor yn cydymffurfio â gofynion cyfreithiol wrth ymdrin â gwybodaeth gorfforaethol, yn ogystal â chydymffurfio â GDPR y DU, Deddf Diogelu Data 2018, Deddf Rhyddid Gwybodaeth 2000, Rheoliad Deddf Pwerau Ymchwilio 2000 (Gwyliadwriaeth) a chodau ymarfer perthnasol.

Cyflwynwyd yr adroddiad gan y Swyddog Diogelu Data a Rheolwr Llywodraethu Gwybodaeth Gorfforaethol a thynnodd sylw at y pwyntiau allweddol mewn perthynas â chyswllt â rheoleiddwyr allanol, digwyddiadau diogelwch, torri cyfrinachedd a/neu achosion fu bron â digwydd yn ystod y cyfnod.

Roedd y Cadeirydd wedi gwahodd Swyddogion ar ran y gwasanaethau Dysgu, Gwarchod y Cyhoedd, Adnoddau a Thechnoleg Gwybodaeth i egluro pam fod y gwasanaethau hynny wedi ymateb yn hwyr i geisiadau Deddf Rhyddid Gwybodaeth yn ystod y cyfnod adrodd, a’r camau unioni a gymerir i gyflawni disgwyliadau Swyddfa’r Comisiynydd Gwybodaeth fod 90% o geisiadau Deddf Rhyddid Gwybodaeth yn derbyn ymateb cyn pen ugain diwrnod gwaith. Y rhesymau a nodwyd am beidio ag ymateb yn brydlon i bob cais Deddf Rhyddid Gwybodaeth oedd diffyg adnoddau dynodedig i reoli ceisiadau Deddf Rhyddid Gwybodaeth o fewn y gwasanaeth, cymhlethdod y ceisiadau a’r rheidrwydd i gydbwyso’r gwaith o adalw a darparu gwybodaeth i ymgeiswyr gyda dyletswyddau gweithredol o ddydd i ddydd.

Trafododd y pwyllgor y pwyntiau canlynol –

• Cyfrifoldeb o fewn y Cyngor am ddyrannu ceisiadau Rhyddid Gwybodaeth i’r gwahanol feysydd gwasanaeth a ph’un a yw’r amserlen ar gyfer ymateb yn weithredol o’r dyddiad y caiff y cais ei dderbyn yn ganolog gan y Cyngor, neu o’r dyddiad y caiff ei ddyrannu i wasanaeth a/neu’r sawl sy’n dal y wybodaeth.
• Y broses mewn perthynas â’r 29 cais gwrthrych am wybodaeth sydd wedi cael eu gohirio dros dro er mwyn cadarnhau neu egluro hunaniaeth yr ymgeiswyr.
• P’un a yw’r Cyngor yn gyfrifol am sicrhau bod sefydliadau partner, cyrff allanol a/neu gwmnïau y mae’n gweithio â nhw, â chytundeb â nhw, neu’n sy’n gweithredu ar ei ran, yn cydymffurfio â gofynion GDPR a diogelu data.

Derbyniodd y Pwyllgor wybodaeth bellach fel a ganlyn –

• Er bod ceisiadau Deddf Rhyddid Gwybodaeth yn cael eu derbyn a’u dosbarthu’n ganolog fel arfer, gan dîm y Swyddog Diogelu Data a’r Rheolwr Llywodraethu Gwybodaeth Gorfforaethol, gallai cais Deddf Rhyddid Gwybodaeth fod wedi’i ymgorffori weithiau mewn gohebiaeth sy’n mynd rhagddo neu mewn ymholiad cyffredinol ac yn yr achos hwnnw byddai’n cael ei anfon ymlaen at y tîm canolog. Mae diwrnod cyntaf yr amserlen o ugain diwrnod gwaith yn cychwyn y diwrnod ar ôl derbyn y cais Deddf Rhyddid Gwybodaeth. Mae’r Cyngor wedi bod yn datblygu system CRM (system reoli cysylltiadau cwsmeriaid) fel modd o gynnal a rheoli’r gwaith o weinyddu prosesau Deddf Rhyddid Gwybodaeth a chwynion. Rhagwelir y bydd defnyddio’r system CRM i reoli’r cyswllt rhwng y tîm canolog a swyddogion yn arwain at wella perfformiad.
• Nid yw’n ofynnol i’r Cyngor brosesu’r 29 cais gwrthrych am wybodaeth sydd wedi cael eu gohirio am y tro oni bai bod yr ymgeisydd yn gallu profi ei hunaniaeth gan y byddai’n anghyfreithlon datgelu gwybodaeth i unigolyn nad oes hawl ganddo i dderbyn y wybodaeth honno. Mae’r rhan fwyaf o’r ceisiadau hyn wedi’u gohirio am fod yr ymgeisydd wedi methu â darparu tystiolaeth o hunaniaeth i’r Cyngor. Bydd y ceisiadau’n cael eu dileu ar ôl cyfnod o amser gan nad ydynt yn ddilys ac ni ellir gweithredu arnynt heb dorri’r union gyfraith y mae’r Cyngor yn ceisio ei gynnal.
• Mae’r Cyngor yn gyfrifol am sicrhau fod ei gyfrifoldebau GDPR a diogelu data yn ymestyn ar hyd y gadwyn wrth ddyfarnu contractau am wasanaethau. Pan fydd y Cyngor yn comisiynu corff arall i ddarparu gwasanaeth sy’n golygu prosesu data personol, mae’r ddeddfwriaeth yn gosod dyletswydd ar y cyngor i sicrhau fod cytundeb yn cael ei roi ar waith sy’n gosod yr un cyfrifoldebau am reoli risgiau gwybodaeth a sicrhau diogelwch y data ar y corff a gomisiynwyd, ac ar unrhyw isgontractwyr y gallai’r corff ei gyflogi. Er nad oes gofyn cyfreithiol am gytundeb o’r fath pan fydd y Cyngor yn gweithio mewn partneriaeth â chynghorau eraill a/neu elusennau, mae disgwyl i’r un safonau diogelu data gael eu parchu. Yn ogystal, pan fydd y Cyngor yn caffael gwasanaethau gan ddarparwyr eraill, dylai dderbyn sicrwydd fod risgiau seiber ddiogelwch wedi cael eu hystyried a’i fod yn caffael dim ond gan gwmnïau sy’n gweithredu yn unol â safonau diogelu data a seiber ddiogelwch uchel.

Penderfynwyd derbyn yr adroddiad a chymeradwyo’r argymhelliad bod y SIRO ac uwch arweinwyr y Cyngor yn derbyn diweddariadau rheolaidd ar y bygythiadau seiber a’r mesurau lliniaru fel y gellir gwneud penderfyniadau strategol seiliedig ar wybodaeth brydlon ac effeithiol mewn perthynas â’r bygythiad seiber cyson i uniondeb a chyfrinachedd asedau data’r Cyngor.