Eitem Rhaglen

Cyflwyno Adroddiad Blynyddol yr UBRG am 2017/18.

Cyflwynwyd adroddiad yr Uwch-berchennog Risg Gwybodaeth (SIRO) oedd yn rhoi dadansoddiad o'r materion llywodraethu gwybodaeth allweddol am y cyfnod rhwng 1 Ebrill 2017 a 31 Mawrth 2018, i’r Pwyllgor ei ystyried. Hefyd, rhoes yr adroddiad y wybodaeth ddiweddaraf am gynnydd y Cyngor gyda'i Gynllun Gweithredu GDPR, yn cwmpasu'r cyfnod rhwng 25 Mai 2018 a 31 Gorffennaf 2018.

Mae'r adroddiad hwn yn rhoi trosolwg o gydymffurfiaeth y Cyngor â gofynion cyfreithiol wrth ymdrin â gwybodaeth gorfforaethol, gan gynnwys cydymffurfio â Deddf Diogelu Data 1998; Deddf Rhyddid Gwybodaeth 2000; Deddf Rheoleiddio Pwerau Ymchwilio 2000 (Goruchwylio) a’r codau ymarfer perthnasol. Mae'r adroddiad hefyd yn cynnwys sicrwydd o welliant parhaus wrth reoli risgiau i wybodaeth yn ystod 2017-2018; ac yn nodi cynlluniau ar gyfer y dyfodol. Mae'n adrodd ar gyswllt y Cyngor â rheoleiddwyr allanol ac yn darparu gwybodaeth am ddigwyddiadau diogelwch, torri cyfrinachedd, neu "ddigwyddiadau trwch blewyn” yn ystod y cyfnod perthnasol. Tynnodd sylw at y prif bwyntiau fel a ganlyn -

• Mae'n debygol mai diffyg cydymffurfio â deddfwriaeth diogelu data yw'r risg gwybodaeth sylfaenol i'r Cyngor. O ganlyniad, gwnaed llawer o gynnydd i ddatblygu ymwybyddiaeth o risgiau data personol er mwyn cyflwyno ffyrdd i reoli'r risg yn unol ag arfer gorau a chan ragweld diwygio diogelu data. Yn ogystal, mae'r Cyngor wedi nodi risgiau o ran data personol yn ei gofrestrau risg corfforaethol a gwasanaeth.

• Mae'r Cyngor yn cydnabod bod yna nifer o risgiau i ddiogelwch gwybodaeth fel y'u rhestrir yn yr adroddiad a bod achosi niwed a gofid i unigolyn(unigolion), cosbau ariannol, camau gorfodi, cyhoeddusrwydd anffafriol a cholli hyder yn y Cyngor hefyd yn beryglon sy’n gysylltiedig â’i asedau data personol. Felly, yn ogystal â mesurau technegol a chorfforol i warchod gwybodaeth y Cyngor, mae amrywiaeth o ddulliau diogelu technegol a sefydliadol wedi'u sefydlu yn erbyn risgiau gwybodaeth; Mae'r rhain yn amrywio o bolisïau a gweithdrefnau Llywodraethu Gwybodaeth addas ac offer TGCh wedi'u hamgryptio i hyfforddiant diogelu data, Dangosyddion Perfformiad Allweddol Llywodraethu Gwybodaeth a gweithdrefnau ar gyfer cofnodi digwyddiadau diogelwch data a dysgu ohonynt.

• Yng nghyswllt Rheoliad Gwarchod Data Cyffredinol (GDPR), bod Adran 5.1 yr adroddiad yn amlinellu'r cynnydd hyd at 31 Mawrth 2018 h.y. y cyfnod a gwmpesir gan adroddiad y SIRO a ddatblygodd gynlluniau'r Cyngor i weithredu'r GDPR a hefyd y gwaith dilyn-i-fyny a wnaed ers 31 Mawrth 2018 hyd at 31 Gorffennaf 2018 i weithredu GDPR gan gynnwys y cynllun gweithredu 5 cam. Cadarnhaodd y Swyddog fod yr holl ofynion dan bob un o'r 5 cam wedi'u bodloni. Mewn perthynas â hyfforddiant dan Gam 5 y broses, mae'r adroddiad  yn dangos y nifer ym mhob un o wasanaethau'r Cyngor sy'n manteisio ar y modiwl e-ddysgu a gyflwynwyd ym mis Mai 2018. Ar 31 Gorffennaf, roedd cyfanswm o 747 o staff, neu 43%, wedi cwblhau'r modiwl. Mae tystiolaeth o hyfforddiant ar y cyd â thystiolaeth o dderbyn polisi yn rhoi sicrwydd mesuradwy i'r Cyngor.

• Bod Derbyn Polisi yn diogelu’r Cyngor gan ei fod yn rhoi tystiolaeth bod staff wedi darllen a deall y polisi. Gwnaed Polisi Diogelu Data'r Cyngor yn orfodol i'w dderbyn rhwng 4 Mehefin 2018 a 2 Gorffennaf 2018 ac roedd y gyfradd derbyn yn 83%. Mae'r Polisi Diogelu Data yn parhau ar agor i'w dderbyn.

• Bod y Cyngor wedi sefydlu ei system rheoli polisi, Porth Polisi sydd fel llyfrgell o bolisïau ers mis Tachwedd, 2016. Cyflwynwyd y swyddogaeth derbyn polisi ym mis Ebrill 2017 ac mae'n rhoi sicrwydd bod polisïau allweddol Llywodraethu Gwybodaeth yn cael eu darllen, eu deall a'u derbyn yn ffurfiol gan aelodau unigol o staff. Mae’r ffaith fod y Porth Polisi ar gael hefyd wedi gwneud tasg monitro gwaith cydymffurfio â diogelu data ar ôl 25 Mai 2018 yn llawer haws. Roedd y cyfraddau derbyn ar gyfer pob un o'r polisïau gorfodol - y Polisi Desg Glir, Polisi Rheoli Cofnodion a Pholisi Dosbarthu Data – yn 95%.

• Bod y Porth Polisi’n dibynnu ar Gyfeirlyfr Gweithredol y Cyngor sydd bellach yn cynnwys tua 1,000 o ddefnyddwyr gweithredol, yn dilyn cynnwys y Gwasanaeth Dysgu. Fodd bynnag, amcangyfrifir nad oes gan oddeutu 686 o staff Gyfeirlyfr Gweithredol. Mae defnyddwyr Cyfeirlyfr Gweithredol sydd â chyfrifon e-bost yn meddu ar Drwyddedau Mynediad Cleientiaid Microsoft sy'n ddrud. Byddai darparu unrhyw offer TG i hwyluso mynediad hefyd yn golygu mwy o gost. Er y byddai darparu cyfrifon Cyfeirlyfr Gweithredol i'r holl staff yn dechnegol bosib, byddai'n rhy gostus ac, felly, nid yn flaenoriaeth ar hyn o bryd.

• Yn ystod cyfnod yr adroddiad, monitrodd y Cyngor rai Dangosyddion Perfformiad Allweddol penodol Llywodraethu Gwybodaeth, rhai yn fisol ac eraill bob chwarter. (Adran 5.9 yr adroddiad). Mae hefyd yn cyhoeddi ei ddata mynediad at wybodaeth ar ei wefan bob chwarter.

• Bod 19 o ddigwyddiadau diogelwch data Lefel 0 i Lefel 1 wedi’u cofnodi yn ystod y cyfnod h.y. digwyddiadau a ddosbarthwyd fel digwyddiadau trwch blewyn neu'n cael eu cadarnhau fel digwyddiadau diogelwch data nad oes angen eu hadrodd i Swyddfa'r Comisiynydd Gwybodaeth a rheoleiddwyr eraill (o 33 yn yr adroddiad blaenorol). Cofnodwyd un digwyddiad Lefel 2, e.e. digwyddiad diogelwch data y mae'n rhaid ei adrodd i Swyddfa’r Comisiynydd Gwybodaeth a rheoleiddwyr eraill fel sy'n briodol. Rhoddir manylion yn Atodiad A yr adroddiad.

• Yn seiliedig ar y wybodaeth a gesglir am y cyfnod y mae'r adroddiad yn ei gwmpasu, mae'r SIRO yn ystyried bod tystiolaeth sylweddol wedi’i gofnodi i ddangos yr isod -

•           mae trefniadau'r Cyngor ar gyfer cydweithrediad Llywodraethu Gwybodaeth a diogelu data yn rhesymol effeithiol

•           mae'r Cyngor wedi bodloni'r her o weithredu'r ddeddfwriaeth newydd ar ddiogelu data yn llwyddiannus ac mae'n gweithredu mewn modd cydymffurfiol;

•           mae gan y Cyngor brosesau ar waith i ddangos ei fod yn cydymffurfio â Swyddfa’r Comisiynydd Gwybodaeth ai fod yn cydymffurfio ag egwyddor atebolrwydd y GDPR;

•           Mae diogelu data yn parhau ac mae'n debygol o barhau i fod yn risg ganolig i'r Cyngor bob amser oherwydd sensitifrwydd y data personol y mae'n eu prosesu sy'n amrywio rhwng y gwasanaethau.

Rhoes y Pwyllgor ystyriaeth i'r wybodaeth a gyflwynwyd ac fe wnaeth bwyntiau fel a ganlyn –

•           Nododd y Pwyllgor mai ar 31 Gorffennaf, 2018, dim ond 43% o'r staff oedd wedi manteisio ar y modiwl e-ddysgu ar gyfer dysgu diogelu data gyda rhai gwasanaethau mewn sefyllfa lai cydymffurfiol nag eraill, e.e. Gwasanaethau Oedolion a Gwasanaethau Priffyrdd, Eiddo a Gwastraff. Gofynnodd y Pwyllgor am eglurhad a oedd trefniadau wedi'u gwneud i sicrhau bod yr holl staff yn ymgymryd â'r hyfforddiant ac a oes dyddiad targed wedi'i bennu erbyn pryd y disgwylir y bydd hyn wedi’i gwblhau.

Dywedodd y Rheolwr Llywodraethu Gwybodaeth Corfforaethol bod cynnydd wedi'i wneud ers y cyfnod hwnnw a’i fod yn parhau, er bod yr adroddiad yn cyfeirio at y sefyllfa hyd at 31 Gorffennaf. Penaethiaid Gwasanaeth sy'n gyfrifol am sicrhau bod eu staff yn cwblhau'r modiwl e-ddysgu er, fel y trafodir yn yr adroddiad, mae rhai grwpiau o staff o fewn rhai gwasanaethau - e.e. Gofalwyr Cartref o fewn staff Gwasanaethau Oedolion a Thrafnidiaeth a staff y Ganolfan Ailgylchu mewn gwasanaethau Priffyrdd, Eiddo a Gwastraff - yn cael problemau mynediad oherwydd nad ydynt yn ddefnyddwyr Cyfeirlyfr Gweithredol ac, felly, nid ydynt wedi'u cynnwys yn y broses. O’r herwydd, mae cyfraddau cydymffurfio is ar gyfer y gwasanaethau hyn.

•           Nododd y Pwyllgor y gallai'r Bwrdd Llywodraethu Gwybodaeth Gorfforaethol a sefydlwyd yn 2014 i fynd i'r afael â materion Llywodraethu Gwybodaeth adrodd yn uniongyrchol ar faterion i Uwch-dîm Arweinyddiaeth y Cyngor. Gofynnodd y Pwyllgor am eglurhad o unrhyw amgylchiadau lle canfuwyd bod hyn yn angenrheidiol ac, o gofio arwyddocâd y swyddogaeth Llywodraethu Gwybodaeth o fewn y Cyngor, a ddylid rhoi gwybod i’r Uwch Dîm Arweinyddiaeth mewn unrhyw achos fel mater o drefn.

Dywedodd y Rheolwr Llywodraethu Gwybodaeth Corfforaethol ei bod, ers Mai 2018, yn statudol ofynnol i'r Cyngor sicrhau bod llinellau adrodd i'r Uwch-dîm Arweinyddiaeth yn agored ac yn hygyrch; yn hanesyddol adroddwyd am ddigwyddiadau diogelwch data i'r Uwch-dîm Arweinyddiaeth ynghyd â materion cysylltiedig megis achosion o ôl-gronni mewn hyfforddiant er enghraifft. Ar hyn o bryd, er mwyn sicrhau bod y broses adrodd yn gymesur, caiff yr Uwch-dîm Arweinyddiaeth wybodaeth yn rheolaidd.

•           Nododd y Pwyllgor y bydd hyfforddiant Diogelu Data yn rhan o'r broses sefydlu ar gyfer staff newydd. Gofynnodd y Pwyllgor am eglurhad a fyddai'r ddarpariaeth hon ar gael i bob aelod o staff newydd mewn gwasanaethau fel Gwasanaethau Oedolion, er enghraifft, lle mae materion mynediad / presenoldeb wedi'u nodi mewn perthynas â grwpiau penodol o staff, yn enwedig staff oddi ar y safle, megis gofalwyr cartref.

Dywedodd y Rheolwr Llywodraethu Gwybodaeth Corfforaethol, fel y mae’r adroddiad yn ei gydnabod, bod dibyniaeth y Porth Polisi ar Gyfeirlyfr Gweithredol y Cyngor wedi'i gydnabod fel cyfaddawd o'r cychwyn cyntaf oherwydd y caiff staff nad ydynt yn defnyddio Cyfeirlyfr Gweithredol eu hepgor o'r broses. Fodd bynnag, mae cyfarfod wedi'i gynllunio ar gyfer diwedd mis Medi i edrych ar amrywiol opsiynau ar gyfer gwasanaethau a effeithir yn hyn o beth.

•           Nododd y Pwyllgor y cofnodwyd 22 o ddigwyddiadau Diogelwch Lefel 0 -1 yn ystod y cyfnod adrodd. Gofynnodd y Pwyllgor am eglurhad a fyddai nifer yr achosion ar ôl cwblhau'r hyfforddiant yn lleihau a / neu ddiogelwch data yn gwella.

Dywedodd y Rheolwr Llywodraethu Gwybodaeth Corfforaethol, oherwydd natur y risgiau sy'n gysylltiedig â diogelu data -  er enghraifft, camgymeriad dynol, ei bod yn annhebygol y bydd nifer y digwyddiadau diogelwch data yn lleihau i ddim. I'r gwrthwyneb, mae cofnodi digwyddiadau diogelwch data yn dangos ymwybyddiaeth o'r angen i adrodd am ddigwyddiadau o'r fath ac effeithiolrwydd y broses adrodd, sy'n bwysig yng nghyd-destun llywodraethu gwybodaeth.

Penderfynwyd derbyn yr adroddiad a nodi ei gynnwys a chymryd sicrwydd o gasgliadau'r Uwch-berchennog Risg Gwybodaeth ynghylch effeithiolrwydd trefniadau'r Cyngor ar gyfer Llywodraethu Gwybodaeth am y cyfnod a gwmpesir gan Adroddiad Blynyddol 2017/18.

NI CHYNIGIWYD UNRHYW GAMAU GWEITHREDU YCHWANEGOL