Agenda item

Adroddiad Risg Gwybodaeth Blynyddol

Cyfarfod Pwyllgor Rheoli Trosolwg a Chraffu, Dydd Gwener, 9fed Gorffennaf, 2021 10.00 am (Item 4.)

Cofnodion:

Gwahoddedigion:

Rhys Cornwall - Pennaeth Pobl a Newid Busnes

Mark Bleazard - Rheolwr Gwasanaethau Digidol

Tariq Slaoui – Rheolwr Gwybodaeth

Rhoddodd y Pennaeth Newid Busnes a Phobl drosolwg byr o’r adroddiad i'r pwyllgor a dywedodd mai dyma'r nawfed Adroddiad Gwybodaeth Risg blynyddol, nad yw'n adroddiad statudol ond sy'n cael ei wneud bob blwyddyn fel dull arfer gorau o reoli gwybodaeth a diogelwch, sy'n hanfodol ar gyfer tryloywder. Rhoddodd yr adroddiad yn rhoi trosolwg o'r trefniadau ac yn tynnu sylw at bwysigrwydd llywodraethu gwybodaeth.

Cydnabu'r Rheolwr Gwasanaethau Digidol fod cyd-destun yr adroddiad dan sylw yn seiliedig ar gyfnod nas gwelwyd ei debyg erioed o’r blaen pan fo rheoli risg yn deillio'n bennaf o weithio gartref sy'n cyflwyno heriau gwahanol. Er enghraifft, gallai pylu’r ffiniau rhwng gwaith a bywydau personol gynyddu'r risg y bydd staff yn cael eu targedu gan seiber-droseddwyr oherwydd yr amgylchiadau unigryw sy’n effeithio ar bobl.

Aeth y swyddog drwy uchafbwyntiau penodol yr adroddiad a'r hyn y mae'n ofynnol iddynt ymdrin ag ef o ran rhai elfennau o gydymffurfio. Mae'r Rhwydwaith Gwasanaethau Cyhoeddus yn eu galluogi i gysylltu'r rhwydwaith i reoli eu gwybodaeth a'u diogelwch yn briodol, a reolir gan swyddfa'r cabinet. Nodwyd eu bod wedi gwneud dau gyflwyniad sydd wedi bod yn aflwyddiannus a oedd yn her ac wedi'i uwchgyfeirio gan GRhR.

Mae Rheoliad Diogelu Data GDPR yn rhoi cyfarwyddyd i'r cyngor ar sut i drin y data. Dywedwyd wrth yr Aelodau fod y cyngor yn gyfforddus eu bod yn rheoli'r wybodaeth hon fel y dylai sefydliad, soniwyd bod hysbysiadau preifatrwydd clir ar y wefan yn nodi sut mae'r cyngor yn cadw ei ddata er mwyn bod yn agored ac yn dryloyw.

Elfen arall o gydymffurfiaeth oedd y cyfleuster cardiau talu, mae'r cyngor yn cydymffurfio ond roedd ganddynt rai heriau ychydig flynyddoedd yn ôl. Er mwyn datrys hyn, mae'r tîm yn gweithio drwy ymarfer caffael i weithio gydag arbenigwyr ac yn hyderus eu bod yn gwneud pethau'n dda o ran cynnydd ond y byddant yn gwneud pethau ychydig yn wahanol dros y misoedd nesaf. Mae hon yn broses barhaus sydd wedi'i gohirio oherwydd profedigaeth ond sicrhawyd yr aelodau bod y tîm yn ôl ac yn gweithio ar y prosiect.

O ran y safonau data, sicrhaodd y swyddog y pwyllgor fod gan y Cyngor drefniadau cadarn ar waith gyda’r staff, er enghraifft, Pennaeth y Gyfraith a Rheoleiddio yw'r Uwch Berchennog Risg Gwybodaeth, Pennaeth Pobl a Newid Busnes yw pennaeth gweithredol y tîm, gr?p llywodraethu gwybodaeth y maent yn cyfarfod ag ef, a'r Rheolwr Gwasanaethau Digidol yw'r Swyddog Data Diogelu.

Esboniodd y swyddog eu bod, ar gyfer 2021, wedi cynnal arolwg staff ar GDPR a bod y canlyniadau sydd wedi’u cynnwys yn yr adroddiad a ddarperir yn nodi bod mwy o waith eto i'w wneud ynghyd â'r camau sy’n deillio o hynny.

Hysbyswyd y pwyllgor am y newyddion cadarnhaol fod gan y tîm digidol gytundeb lefel gwasanaeth dwy flynedd gydag ysgolion cynradd lleol a oedd yn fuddiol iawn iddynt ac yn gam mawr gan ei fod yn annog llawer o ymholiadau ganddynt o ran cyfathrebu a chodi ymwybyddiaeth.

Esboniwyd i'r aelodau ei bod wedi dod i’r amlwg mai’r staff oedd y cyswllt gwannaf o ran risgiau diogelwch, felly mae’r cyngor yn atebol am sicrhau bod eu staff yn wybodus ac yn cael eu haddysgu gymaint ag y gallant. Soniwyd eu bod yn cynnal sesiynau rheolaidd, yn bennaf ar Teams, o ran sesiynau wyneb yn wyneb, bydd y rhain yn cael eu trefnu yn y Ganolfan Ddinesig. Bydd y tîm yn cynnal cyrsiau go iawn eto, dywedodd y swyddog fod y cwrs e-ddysgu ar GDPR wedi bod yn rhagorol gan fod nifer fawr o staff wedi gloywi eu gwybodaeth.

Cydnabu'r swyddog, gyda'r arolwg staff, fod angen iddynt wneud mwy o waith dadansoddi ar yr hyn sy'n bwysig a bydd cyfathrebu'n rhan fawr o hynny. Dywedwyd wrth yr Aelodau mai'r broblem nesaf o ran rheoli risg fyddai sefyllfaoedd pan fo gwaith papur pwysig yn mynd ar goll, negeseuon e-bost cyfrinachol yn cael eu hanfon at y person anghywir. Hysbyswyd y pwyllgor bod gan y tîm gynllun gweithredu ar waith i ddelio â sefyllfaoedd o'r fath.

Dywedodd y Rheolwr Gwasanaethau Digidol eu bod yn rhannu cyfrifoldeb gyda rheolwyr data fel rhan o'r Gwasanaeth Tracio ac Olrhain, adnodd dynodedig ar y cyd ag Iechyd Cyhoeddus Cymru. Hysbyswyd y pwyllgor mai ychydig iawn o ddata sydd ar gael ond oherwydd y broblem y rhoddwyd gwybod amdani i swyddfa'r comisiynydd gwybodaeth ac y rhoddwyd cyhoeddusrwydd iddi, roedd tîm Iechyd Cyhoeddus Cymru yn gweithredu’n dryloyw drwy gyhoeddi datganiad i sicrhau bod y cyhoedd yn ymwybodol o risgiau.

O ran atebion technoleg, hysbyswyd y pwyllgor eu bod mewn sefyllfa eithaf da gyda phobl yn gweithio o bell ond eu bod yn newid eu hatebion gyda systemau e-bost diogel fel egress er enghraifft. Esboniwyd, pan ysgrifennwyd yr adroddiad, eu bod wrthi’n symud i ddefnyddio ateb gwahanol sydd bellach wedi'i ddatrys.

Cynigiodd y Bartneriaeth TG gyda'r Gwasanaethau Adnoddau a Rennir ddefnyddio canolfan gweithrediadau diogelwch a system rheoli gwybodaeth diogelwch. Byddai systemau o'r fath yn cofnodi gweithgarwch a phryderon am y rhwydwaith gydag unigolion i’w cynorthwyo. Dywedwyd wrth yr Aelodau eu bod bellach mewn sefyllfa i gytuno ar gyllideb ar gyfer y cynllun hwn i wella trefniadau diogelwch presennol y Cyngor a fydd yn newid y sefyllfa o ran gweithio o bell ac yn sicrhau manteision diogelwch ar gyfer VPN. Soniwyd am feddalwedd wystlo fel bygythiad enfawr yn y sectorau cyhoeddus a phreifat ond mae'r tîm yn ymwybodol iawn o hyn ac maent yn gweithio ar yr ateb i liniaru'r risg o weithio o bell a seiber-risg.

Yna hysbyswyd aelodau'r Pwyllgor fod y tîm wedi cael ymateb gwych i gyflwyno gwybodaeth mewn cysylltiad â cheisiadau Rhyddid Gwybodaeth, gan eu bod wedi yn rhagori ar eu targed eleni.

Aeth y Rheolwr Gwasanaethau Digidol ymlaen i dynnu sylw at y ffaith bod staff wedi cael problemau gyda cheisiadau gwrthrych am wybodaeth a oedd yn ymholiadau’n ymwneud â data personol, gan nodi eu bod wedi methu bwrw’r targed hwnnw. Roedd hyn yn bennaf oherwydd y broblem o ran cael mynediad corfforol i'r cofnodion oherwydd bod gweithwyr yn gweithio o bell. Sicrhawyd y pwyllgor y bydd hyn yn gwella wrth symud ymlaen i hanner nesaf y flwyddyn.

Gofynnodd y Pwyllgor y canlynol:

• Mynegodd Aelod bryder ynghylch sicrhau bod y wybodaeth ar gael yn haws i bawb ar y wefan o ran ceisiadau Rhyddid Gwybodaeth. O ran ceisiadau gwrthrych am wybodaeth, holodd yr aelod ymhellach y prif reswm pam fod aelodau’r cyhoedd yn gofyn amdanynt. Soniodd yr Aelod bellach am y broblem gyda’r wefan yn methu a gofynnodd a allai hynny ddigwydd eto.

Eglurodd y Pennaeth Pobl a Newid Busnes bod llawer o geisiadau Rhyddid Gwybodaeth yn dod i law gan gwmnïau wrth iddynt chwilio am gyfleoedd masnachol ac mae'r cyngor yn ceisio eu rhoi ar y wefan mewn man dynodedig yn yr adran Cwestiynau Cyffredin i atal staff rhag gorfod mynd drwy'r un broses guradu hir pan fo gwaith eisoes wedi'i wneud i'w hateb.

O ran y wefan, atebodd Pennaeth y Gwasanaeth fod y strwythur TG yn sefydlog iawn yn gyffredinol, sef 99.4% o'r amser, ond bod y methiannau yn digwydd am amryw o resymau, sydd yn bennaf ty tu hwnt i reolaeth y cyngor. Ni allai'r swyddog roi gwarant na fyddai'n digwydd eto ond rhoddodd sicrwydd i'r aelodau y bydd mesurau gyda'r cynllun adnewyddu cyfalaf gyda'r Gwasanaethau Adnoddau a Rennir ar y seilwaith yn lleddfu'r systemau. Cytunwyd gyda’r Cabinet ym mis Hydref i symud y dyddiad ar gyfer paratoi ar gyfer gwydnwch gyda golwg ar liniaru sefyllfaoedd o'r fath.

O ran y ceisiadau gwrthrych am fynediad, ymatebodd y Rheolwr Gwybodaeth drwy nodi eu bod yn geisiadau sy’n destun deddf diogelu data deddfwriaeth benodol, oherwydd o 2018 ymlaen mae’n ofyniad statudol i ymateb i geisiadau o'r fath cyn pen un mis. Mae hyn yn wir am y sector preifat hefyd, nid dim ond y sector cyhoeddus. O ran y rheswm pam, nodwyd bod llawer o resymau ond y rhesymau mwyaf cyffredin y soniwyd amdanynt oedd pan fo cofnodion gwasanaethau cymdeithasol yn cynnwys gwybodaeth y maent ei hangen mewn cysylltiad â phlentyn, fel cofnodion addysg, a hanes taliadau'r dreth gyngor. Mae'r adran yn derbyn amryw geisiadau ad-hoc yn ogystal â'r rhain. Yna, mae gwasanaethau gwybodaeth yn trosglwyddo'r cais hwn i'r gwasanaeth perthnasol i goladu gwybodaeth ac ymateb yn unol â hynny o fewn y gyfraith.

• Holodd Aelod os yn bosibl am fwy o dryloywder ynghylch ceisiadau Rhyddid Gwybodaeth gan ail-ddweud pan fethodd y wefan bod hynny wedi achosi problemau ar draws y cyngor.

Ymatebodd y Rheolwr Gwybodaeth drwy gyfeirio at y dudalen Tryloywder sydd ar wefan y cyngor gan ei fod yn cynnwys y cwestiynau cyffredin mewn cysylltiad â Cheisiadau Rhyddid Gwybodaeth . Er enghraifft, nifer y disgyblion ar gofrestr ysgol, achosion blaenorol a chyfraddau busnes ond oherwydd achos llys nid ydynt yn gwneud hynny'n awr. Esboniodd y swyddog na allant roi pob cais unigol ar-lein ond mae'n rhywbeth y maent yn ei adolygu gan fod angen iddynt ystyried y canlyniadau a allai ddeillio ohono a'r adnoddau y byddai angen eu defnyddio yn realistig. Dywedwyd wrth yr Aelodau fod y tîm yn diweddaru'r rhain bob chwarter yn dibynnu ar ba ddata a geir arno.

Cyfeiriodd y Rheolwr Gwasanaethau Digidol yr aelod at dudalen tryloywder newport.gov gan ategu sylwadau'r Pennaeth Pobl a Newid Busnes fod y broblem gyda’r wefan yn methu yn anarferol ac eu bod yn cydnabod ei fod yn cael effaith fawr. Roedd y strwythur data yn hen a allai fod wedi achosi problemau ond esboniodd fod offer newydd wedi'i brynu a bod y tîm yn cyflawni gwaith adnewyddu sy'n helpu i leihau problemau.

Aeth y swyddog ymlaen i egluro mai'r gwydnwch cyffredinol fyddai symud i ddefnyddio’r cwmwl, ond ni allai'r swyddogion warantu na fydd system yn methu, ond wedi dweud hynny, mae darparwyr o'r fath mewn sefyllfa dda i ddarparu atebion.

• Soniodd Aelod bod dirwyon mawr i’w cael os bydd sefydliad yn datgelu gwybodaeth drwy dorri rheolau data, a gofynnodd a fyddai'r cyngor yn cael dirwy o £20 miliwn pe bai'r un peth yn digwydd iddynt.

Ymatebodd y Pennaeth Pobl a Newid Busnes i gadarnhau'r ffigur ond gan egluro i’r pwyllgor mai'r ffigur y soniwyd amdano oedd y ddirwy uchaf erioed i’w rhoi, a oedd yn erbyn British Airways mewn achos nodedig o ddatgelu data. Roedd hyn yn fwy nag £20 miliwn gydag ewros yn seiliedig ar drosiant. Roedd y ddirwy wreiddiol y cynigiwyd ei rhoi mewn gwirionedd yn sylweddol uwch na hynny ond fe'i gostyngwyd i 20 miliwn oherwydd effaith y pandemig ar y sector a nododd fod y ddirwy hon yn tynnu sylw at y risg sy'n gysylltiedig ag achosion o’r math hwn.

• Mynegodd Aelod bryder y byddai'n rhaid i'r sefydliad dalu'r pris hwnnw drwy gynyddu eu costau a'u pasio ymlaen i'w cwsmeriaid sy'n talu. Holodd yr aelod a allai'r un peth ddigwydd gyda'r cyngor, a phe bai'n gwneud hynny, a fyddent codi cyfraddau uwch ar y cyhoedd pe baent byth yn cael dirwy am ddateglu data?

Cadarnhaodd y Rheolwr Gwasanaethau Digidol fod y cyngor yn Gorff Awdurdod Lleol nad yw'n gwneud elw ac yn realistig, ni fyddai cynghorau'n wynebu dirwyd ar y raddfa honno. Mae'r cyngor yn gweithio ar gamau atal ac nid yw'n trin data'n wyliadwrus rhag ofn iddo gael cosb ariannol, mae’n gwneud hynny oherwydd ei fod yn trin data sensitif iawn sy’n ymwneud â’i drigolion lleol.

Pwysleisiodd y swyddog mae pwrpas y cyngor yw cynnig gwasanaeth i’w drigolion a mater i'r Cyngor fyddai trafod a fyddai’n talu dirwy’n ymweud ag achosion o fynediad diawdurdod at ddata drwy ei drethdalwyr.

I'r gwrthwyneb, pe bai'r cyngor yn euog o’r fath drosedd, ni fyddai’n wynebu dirwy sy’n ddigon mawr i wneud i'r cyngor wneud unrhyw beth eithafol ac mae trefniadau ar waith i sicrhau nad ydynt mewn sefyllfa o'r fath.

• Nododd aelod mai gwall dynol sy’n bennaf gyfrifol am hyn, sef y staff. Roeddent yn cwestiynu a fyddai aelod o staff anfodlon yn rhyddhau gwybodaeth, fel pe bai drwy ddamwain?

Cydnabu'r Pennaeth Pobl a Newid Busnes fod staff ac aelodau fel ei gilydd yn gwneud camgymeriadau ac mai dyma fyddai’r mater anoddaf i brosesau a gweithdrefnau ei ddatrys. Dywedwyd wrth y pwyllgor fod gan y cyngor fesurau ar waith i sicrhau na fyddai mynediad diawdurdod at ddata yn digwydd.

Nododd y swyddog mai £300,000 yw'r ddirwy uchaf y bu'n rhaid i gorfforaeth ei dalu ac na ddylai'r ddirwy fod yn ffactor sy'n sbarduno gwyliadwriaeth.

• Cyfeiriodd y pwyllgor at yr adroddiad gan amlinellu’r ffaith nad yw'r cyngor yn gwybod faint o ddata sensitif y maent yn ei gadw. Holodd yr aelodau a oedd dull ar waith i hidlo drwy'r hyn a gedwir ac na gedwir gan y cyngor?

Dywedodd y Rheolwr Gwasanaethau Digidol fod gan y tîm syniad da o ba wybodaeth sydd ganddynt, mae ganddynt fwy o ehangder o ran gwasanaethau gan fod ganddynt system data asedau.

Mae gan y cyngor fanylion am ba ddata sy'n cael ei gadw o fewn y cyngor boed hwnnw’n ddata iechyd neu'n ddata personol sensitif. Pwysleisiodd y swyddog eu bod yn ystyried ehangu hynny ymhellach nid yn unig gyda'r systemau sylfaenol ond rhai o'r systemau data llai a fyddai'n lliniaru risg o achosion o fynediad diawdurdod at ddata posibl.

• Nododd Aelod y cyfrif stoc y soniwyd amdano yn yr adroddiad. Gofynnodd y pwyllgor sut mae'r cyngor yn cyfrif stoc a gofynnodd i'r swyddogion gadarnhau beth fyddai sgôr dda yn ei olygu.

Mewn ymateb, dywedodd y Rheolwr Gwasanaethau Digidol fod cyfrif stoc seiber yn cael ei wneud ledled Cymru a'r awdurdodau lleol a’i fod ar ffurf hunanasesiad. Rhoddir sgôr i'r Cyngor ar y meysydd penodol hynny.

Tynnodd y tîm sylw at bryderon blaenorol am feddalwedd wystlo ac o ganlyniad i’r cyfrif stoc, rhoddwyd hwb i wydnwch y Cyngor rhag meddalwedd wystlo.

Roedd y swyddog yn cydnabod bod angen mwy o hyfforddiant ymwybyddiaeth ar staff i'w gwneud yn ymwybodol o'u rhwymedigaethau megis drwy gyrsiau ar-lein gan fod mwy y gallant ei wneud bob amser i liniaru risgiau o'r fath.

• Gofynnodd y pwyllgor, pan fydd y cyngor yn cynnal yr hunanasesiad os cawn ein sgorio gan drydydd parti.

Cadarnhaodd y Rheolwr Gwasanaethau Digidol hyn a bod hyn yn cael ei wneud i Gymru'n ganolog. Mae'r tîm yn rhoi ymatebion ac maent yn dadansoddi ac yn cymharu gwahanol sefydliadau ac yn gallu cynghori gwahanol adrannau ar drefniadau llywodraethu. Gyda seiberddiogelwch, mae llawer y mae sefydliadau'n ei wneud ond pan fydd y risgiau hynny'n cynyddu, mae angen i sefydliadau wneud mwy, felly mae'n well eu hasesu'n ganolog a chlywed yr hyn y maent yn ei ystyried yn arfer gorau o ran y meysydd hynny.

• Gofynnodd Aelod o'r pwyllgor i'r swyddog beth oedd sgôr y cyngor mewn perthynas â’r hunanasesiad.

Ni allai'r Rheolwr Gwasanaethau Digidol gofio'r union sgôr ond roedd yn hyderus ei fod yn uwch na'r cyfartaledd ar draws yr awdurdodau.

• Yna cyfeiriodd y pwyllgor at dudalen 67 ar gyfer y tabl gan gynnwys nifer y digwyddiadau. Holodd yr Aelodau a oedd hynny'n rhan o'r broses.

Atebodd y Rheolwr Gwasanaethau Digidol drwy ddweud nad oedd, gan eu bod yn gwneud hunanasesiad ar feysydd penodol drwy ofyn am eu gweithdrefnau. Nid am y gweithgaredd na faint o ddigwyddiadau / achosion o fynediad diawdurdod at ddata a adroddwyd.

• Soniodd y Pwyllgor am natur unigryw gweithio ystwyth gan holi a fyddai'r staff sy'n gweithio o bell ac sy’n dibynnu ar eu Wi-Fi eu hunain dros y 12 – 15 mis diwethaf, yn achosi unrhyw bryder o ran seiberfwlio?

Eglurodd y Rheolwr Gwasanaethau Digidol y byddai'n risg uwch i raddau yn ddamcaniaethol. Fodd bynnag, esboniwyd bod gan y cyngor bobl yn gweithio gartref cyn y pandemig ac felly'r ateb technegol o hyd yw pan anfonir e-byst, bod y data yn cael ei amgryptio ar y naill ben a’r llall. Mae'r data'n cael ei sgramblo ac ni ellir ei ryng-gipio, yn union yr un fath ag yn y swyddfa, felly mewn gwirionedd nid oes mwy o risg.

Ychwanegodd y Pennaeth Pobl a Newid Busnes at hyn drwy esbonio bod rhai risgiau gyda staff yn gweithio mewn lleoliadau o bell ond nid yr ochr TG oedd y risg o reidrwydd. Mae'r cyngor yn annog peidio â defnyddio cofnodion papur ac yn canolbwyntio mwy ar ddarpariaethau TG. Tynnodd y swyddog sylw at y ffaith ei bod yn fwy diogel nag unigolyn yn gadael cofnodion papur cyfrinachol yn rhywle, oherwydd pe bai rhywun yn gadael ei liniadur gwaith yn rhywle arall, byddai'r weithdrefn mewngofnodi aml-ddilysu yn golygu na all unrhyw un gael mynediad i'r cofnodion ar y gyriant. Mae un yn gofyn am ateb technegol tra bod y llall yn gofyn hyfforddiant ymwybyddiaeth a gwyliadwriaeth.

Nododd y Rheolwr Gwasanaethau Digidol yr achos diweddar o fynediad diawdurdod at ddata gan y llywodraeth ganolog pan adawodd aelod o staff wybodaeth bwysig yn perthyn i’r llywodraeth mewn safle bws. Roedd hyn yn y pen draw yn tanategu’r pwynt mai gwall dynol sy’n gyfrifol am gamgymeriadau, ac mai dyma wraidd yr heriau.

• Cyfeiriodd Aelod y pwyllgor at y diwydiant cardiau talu a sylwodd ei fod yn sôn yn yr adroddiad fod ein cydymffurfiaeth wedi dod i ben. Gofynnodd y pwyllgor a allent gael rhagor o wybodaeth am yr hyn y mae hynny'n ei olygu a pha risgiau posibl sy'n gysylltiedig â hynny. Nododd y pwyllgor hefyd ei fod yn nodi yn yr adroddiad y dylai'r prosiectau gael eu cwblhau erbyn yr haf ond bod y cynllun gweithredu yn nodi na fydd yn barod tan yr hydref.

Nododd y Rheolwr Gwasanaethau Digidol y byddai'n datrys pa un o'r ddau fyddai'r dyddiad mwy priodol ac y byddai rhoi gwybod am hynny o ganlyniad. O ran safonau’r Diwydiant Cardiau Talu, nid yw’r rhain yn fandadol gan y gyfraith ond fe'u hystyrir yn arfer gorau. Nododd y swyddog mai’r risg mwyaf oedd gwall dynol, megis staff yn ysgrifennu rhifau cardiau.

Dywedwyd wrth yr Aelodau fod y risgiau'n fach oherwydd bod y prosesau a'r atebion technegol ar waith, fodd bynnag, soniodd y swyddog y bydd bylchau megis gwahanu traffig cardiau ar y rhwydwaith ehangach.

• Holodd y Pwyllgor am y persbectif Cysylltiadau Cyhoeddus ehangach gan fod y cyhoedd am gael mwy o sicrwydd wrth wneud taliad ar-lein, y bydd yn ddiogel. Oherwydd bod mwy o wasanaethau'n cael eu talu ar-lein fel biliau'r dreth gyngor, byddai'n arfer da i'r cyngor drefnu hyn ym mis Awst fel y dywed yr adroddiad a pheidio ag aros tan fis Hydref.

Ailadroddodd y Pennaeth Pobl a Newid Busnes fod y cyngor, o ran taliadau cerdyn i ddarparwyr, yn mynd trwy brosesau cydymffurfio’r DCT. Nid oes fawr o risg yn gysylltiedig ag ef ac mae'n arfer gorau i weithredu gan ddefnyddio’r modelau ymarfer diogelaf o ran diogelwch data. Esboniodd y swyddog fod yr amserlenni wedi newid oherwydd fel y dywedodd y Rheolwr Gwasanaethau Digidol yn gynharach yn y cyfarfod, byddant yn gallu cael cymorth allanol i ddelio gyda rhai materion technegol unwaith y bydd y cyngor yn mynd drwy'r ymarfer caffael.

Soniodd y swyddog arweiniol fod profedigaeth o fewn y tasglu a arweiniodd at golli amser a chytunodd y Rheolwr Gwasanaethau Digidol fod hyn wedi effeithio ar yr amserlen ond ei fod hefyd o ganlyniad i sicrhau arfer gorau i gael cyngor arbenigol.

• Gofynnodd y pwyllgor yngl?n â'r Arolwg GDPR. Beth oedd canran y staff a ymatebodd i'r arolwg a sut y penderfynodd y tîm ar ba staff i’w defnyddio fel sampl?

Rhoddodd y Rheolwr Gwasanaethau Digidol ffigur bras o 15% o'r staff a oedd wedi ymateb. Maent yn edrych ar dueddiadau ond yn gyffredinol maent wedi cael gwell ymateb y tro hwn.

Dywedwyd wrth yr Aelodau fod yr arolwg wedi'i gyhoeddi i'r holl staff drwy fwletinau ar y fewnrwyd ac felly ni wnaed sampl fel y cyfryw gyda'r drefn arferol o'i gwneud yn wirfoddol i bobl gwblhau'r arolwg.

• Holodd yr Aelodau a allai'r tîm fabwysiadu dull rheoli mwy penodol o ymdrin â hyn er mwyn penderfynu pwy yw'r bobl allweddol a fyddai'n cael mynediad at y cofnodion hyn.

Mewn ymateb, eglurodd y Rheolwr Gwasanaethau Digidol fod hyn yn ategu'r gwaith. Er enghraifft, mae gan Bennaeth Pobl a Newid Busnes gyfrifoldeb gweithredol dros y maes hwn, y Pennaeth y Gyfraith a Rheoleiddio yw’r uwch-berchennog risg gwybodaeth ac mae gr?p llywodraethu gwybodaeth sy'n edrych ar y materion hyn yn strategol ac yn cyfarfod bob chwarter. Mae'r tîm yn adolygu digwyddiadau pwysig ac yn edrych ar raglenni hyfforddi.

Nod yr arolwg GDPR i staff oedd holi barn y staff ar lawr gwlad ar sut mae'r tîm digidol yn gwneud a beth y problemau yn eu barn nhw. Fe'i cynlluniwyd i ategu'r holl fathau o bobl a phrosesau presennol a allai gael effaith ar GDPR.

Pwysleisiodd y swyddog eu bod am sicrhau eu bod yn hysbysu'r sefydliad yn unol â hynny gyda negeseuon rheolaidd yn cael eu hanfon allan.

• Holodd aelod o'r pwyllgor a wnaed unrhyw waith ar ar ddidoli a chatalogio’r cofnodion gwaddol.

Cadarnhaodd y Rheolwr Gwasanaethau Digidol fod ganddynt gyfleuster yn yr adeilad Dinesig gyda chofnodion modern, lle cedwir cofnodion wedi'u harchifo a bod tu 5000 o flychau o ffeiliau yno. Hysbyswyd yr Aelodau bod angen datrys y broblem o ran diffyg cyfleusterau storio a bod y tîm digidol yn y broses o geisio trefnu hyn. Tan yn ddiweddar, nid oedd gan y staff digidol y gallu i storio rhai cofnodion oherwydd y polisi cadw ond roeddent yn gallu dinistrio ychydig o gofnodion er mwyn cael lle i storio'r hyn y mae’n rhaid ei gadw ar hyn o bryd.

• Roedd y Pwyllgor yn cydnabod nad oes dyddiad terfyn ar rai o'r data'n megis gwybodaeth hanesyddol bersonol a gofynnodd a fyddai'n rhesymol gofyn am gadw'r rhain gan y gellid eu trosglwyddo i genedlaethau'r dyfodol? Roedd yr Aelodau'n gwerthfawrogi hyd a lled y broblem o storio'r holl wybodaeth.

Ymatebodd y Rheolwr Gwasanaethau Digidol gan ddweud gwahanol amserlenni o ran cadw gwahanol fathau o gofnodion. Gellir cadw cofnodion gwasanaethau cymdeithasol am hyd at 99 mlynedd. Cytunodd y swyddog fod hynny'n fwy o her a bod dyfynbrisiau blaenorol i sganio'r ystafell gyfan yn costio cannoedd o filoedd o bunnoedd ond mae'n rhywbeth y byddai'n rhaid i'r tîm ei ystyried o ran defnyddio'r adeilad yn y dyfodol.

Yna, dywedwyd wrth yr Aelodau bod angen iddynt gadw rhai cofnodion a bod hynny’n cyfateb i tua 3000 o flychau. Yn sgil defnyddio systemau storio electronig yn ystod y 7-8 mlynedd diwethaf, mae maint y papur a gedwir wedi bod yn lleihau'n araf ond mae ganddynt swmp o gofnodion gofal cymdeithasol a hanesyddol sy'n hanfodol i'w cadw.

Diolchodd y Cadeirydd a'r Pwyllgor i'r swyddogion am eu cyflwyniad a'u hatebion cynhwysfawr.

Dogfennau ategol: