Llywodraethiant Gwybodaeth
Polisi Rheoli Cofnodion
Ar y dudalen hon:
- Cyflwyniad a’r Cwmpas
- Pam fod rheoli cofnodion yn bwysig?
- Rolau a chyfrifoldebau
- Hyfforddiant, ymwybyddiaeth a pherchnogaeth
- Cadw cofnodion
- Cadw a gwaredu
- Cofnod o weithgareddau prosesu
- Ansawdd data
- Rheoli mynediad a diogelwch
- Deddfwriaeth allweddol/darllen pellach
1. Cyflwyniad a’r cwmpas
Mae Cyngor Sir Penfro (‘y Cyngor’) yn cydnabod bod ei gofnodion yn ased cyhoeddus a chorfforaethol pwysig, a’u bod yn adnodd allweddol sy’n ofynnol ar gyfer gweithrediad ac atebolrwydd effeithiol.
Mae Erthygl 5 Rheoliad Cyffredinol y DU ar Ddiogelu Data (UK GDPR) a Rhan 4 (Pennod 2) Deddf Diogelu Data 2018 yn nodi’r egwyddorion allweddol sy’n greiddiol i’r gyfundrefn diogelu data:
- Cyfreithlondeb, tegwch a thryloywder
- Cyfyngu ar ddiben
- Lleihau faint o ddata a gesglir
- Cywirdeb
- Cyfyngu ar storio
- Uniondeb a chyfrinachedd (diogelwch)
- Atebolrwydd
Diffiniadau llawn o’r egwyddorion diogelu data - canllawiau ac adnoddau gan yr ICO (yn agor mewn tab newydd).
Mae’r egwyddorion hyn yn greiddiol i Reoliad Cyffredinol y DU ar Ddiogelu Data a Deddf Diogelu Data 2018. Fe’u nodir yn union ar ddechrau’r ddeddfwriaeth ac maent yn sail i bopeth sy’n dilyn. Nid ydynt yn rhoi rheolau caeth, ond yn hytrach maent yn ymgorffori ysbryd y gyfundrefn diogelu data. Felly mae cydymffurfio ag ysbryd yr egwyddorion allweddol hyn yn un o’r conglfeini sylfaenol ar gyfer arfer da o ran diogelu data a rheoli cofnodion yn dda.
Gall methu â chydymffurfio ag egwyddorion Rheoliad Cyffredinol y DU ar Ddiogelu Data a Deddf Diogelu Data 2018 adael y Cyngor yn agored i ddirwyon sylweddol. Gall peidio ag ymlynu wrth yr egwyddorion sylfaenol ar gyfer prosesu data personol arwain at gael dirwyon gweinyddol ar yr haen uchaf, a allai olygu dirwy hyd at £17.5 miliwn, neu 4% o gyfanswm y trosiant blynyddol byd-eang, pa un bynnag yw’r uchaf.
Mae’r polisi hwn yn nodi disgwyliadau a gweithgareddau’r Cyngor mewn perthynas â’r cyfrifoldebau hyn. Mae’r polisi hwn yn rhan o’r fframwaith ar gyfer rheoli cofnodion y Cyngor, i sicrhau bod y Cyngor yn creu ac yn cadw cofnodion diledryw, dibynadwy ac amserol ac i ddangos atebolrwydd a thryloywder mewn prosesau penderfynu ar bob lefel yng Nghyngor Sir Penfro.
Mae’r polisi hwn yn berthnasol i’r holl gyflogeion, Aelodau, contractwyr, asiantau a chynrychiolwyr, a staff dros dro sy'n gweithio i neu ar ran y Cyngor. Dylid darllen y polisi hwn ar y cyd â’r Polisi Diogelu Data, y Polisi Diogelwch TGCh Polia’r Polisi Gweithio Gartref.
Mae’r polisi hwn yn berthnasol i’r holl gofnodion a gaiff eu creu neu eu dal gan y Cyngor, mewn unrhyw fformat, sut bynnag y cânt eu storio (e.e. system TG/cronfa ddata, storio cwmwl, storio ffeiliau electronig, cabinet ffeiliau/silffoedd, Uned Rheoli Cofnodion, Office 365 {gan gynnwys e-bost a Teams}).
Bydd y polisi hwn yn cael ei adolygu o bryd i’w gilydd.
2. Pam fod rheoli cofnodion yn bwysig?
Mae’r Sefydliad Safonau Rhyngwladol (ISO) yn diffinio ‘cofnodion’ fel ‘Gwybodaeth a gaiff ei chreu, ei derbyn a’i chynnal fel tystiolaeth a gwybodaeth gan sefydliad neu unigolyn, yn unol â rhwymedigaethau cyfreithiol neu i wneud busnes’. Gall cofnodion fod mewn unrhyw fformat gan gynnwys, ymhlith rhai eraill, fformatau ffisegol, digidol a chlyweledol.
Mae rheoli cofnodion yn ddamcaniaeth a methodoleg sefydledig ar gyfer sicrhau bod yr holl gofnodion a’r wybodaeth y maent yn ei chynnwys yn cael eu rheoli’n systematig trwy gydol eu cylch oes. Egwyddor arweiniol rheoli cofnodion yw sicrhau bod gwybodaeth ar gael pan fo’i hangen a ble y mae ei hangen, mewn modd trefnus ac effeithlon, ac mewn amgylchedd a gynhelir yn dda. Mae Ombwdsmon Gwasanaethau Cyhoeddus Cymru wedi cynhyrchu cyfarwyddyd mewn perthynas â rheoli cofnodion – Materion yn Ymwneud â Rheoli Cofnodion yn Dda (yn agor mewn tab newydd).
Mae rheoli cofnodion yn dda’n ategu trefniadau llywodraethu data a diogelu data da, ac mae’n rhan hanfodol o ddarparu gwasanaethau cyhoeddus o ansawdd da. Mae hefyd yn hollbwysig i alluogi’r Cyngor i gyflawni ei rwymedigaethau statudol dan ddeddfwriaeth Diogelu Data, Rhyddid Gwybodaeth a Rheoliadau Gwybodaeth Amgylcheddol.
Mae manteision ehangach yn cynnwys:
- y gallu i ganfod ac adfer gwybodaeth yn rhwydd o fewn graddfeydd amser statudol neu i egluro pam nad yw’n cael ei dal
- rhoi cymorth i gydymffurfio â deddfwriaeth arall a rheolau eraill (e.e. Rheoliad Cyffredinol y Deyrnas Unedig ar Reoli Data {UK GDPR}, y Ddeddf Diogelu Data {DPA} 2018, y Ddeddf Rhyddid Gwybodaeth {FOIA) a’r Rheoliadau Gwybodaeth Amgylcheddol {EIR})
- galluogi defnydd mwy effeithiol o adnoddau (e.e. mae gwaredu cofnodion nad oes mo’u hangen mwyach yn rhyddhau lle mewn adeiladau a systemau gwybodaeth ac yn arbed amser staff rhag iddynt chwilio am wybodaeth nad yw yno mwyach o bosibl)
Mae rhai o ganlyniadau rheoli cofnodion yn wael yn cynnwys:
- penderfyniadau gwael yn seiliedig ar wybodaeth annigonol neu anghyflawn
- methu â thrin gwybodaeth yn ddiogel gyda hynny o bosibl yn arwain at beidio â chydymffurfio â deddfwriaeth a allai arwain at golled ariannol a/neu niwed i enw da
- mwy o gostau ac aneffeithlonrwydd (e.e. gwastraffu amser staff) am bod cofnodion yn cael eu cadw am yn hwy nag y mae eu hangen
Gyda’i gilydd, mae’r manteision a’r risgiau hyn yn darparu rhesymau da dros sicrhau bod cofnodion yn cael eu rheoli’n dda. Bydd y polisi hwn yn helpu i ddarparu’r conglfeini angenrheidiol ar gyfer rheoli cofnodion yn dda.
3. Rolau a chyfrifoldebau
Mae’r Cyngor yn darparu gwasanaethau statudol, gan gynnwys gweithgareddau rheoleiddio, a gwasanaethau dewisol i unigolion a sefydliadau. Mae’r Cyngor yn cynnwys Cyfarwyddiaethau, sydd wedi'u rhannu’n Wasanaethau, ac mae’r Gwasanaethau hyn wedi’u rhannu ymhellach yn Dimau. Bydd pob aelod o Wasanaeth/Tîm yn gyfrifol am weithgareddau penodol a bydd yn creu cofnodion o’i weithredoedd.
Gall cofnodion fod mewn ffeiliau ffisegol, ar systemau digidol neu mewn fformat clyweledol – dewis y Cyngor yw bod cofnodion yn cael eu cynnal yn ddigidol lle bynnag y bo’n bosibl. Rhaid i systemau cofnodi ystyried amgylchedd cyfreithiol a rheoleiddio penodol y maes y mae gwaith Gwasanaethau’n ymwneud ag ef hefyd. Dylai cofnodion gael eu cyfeirnodi a’u cynnal mewn modd sy’n hwyluso’r broses o’u hadfer ar unwaith. Dylid trin yr holl gofnodion â pharch priodol, a dylid cynnal dilysrwydd ac uniondeb y cofnod drwy’r amser. Dylai cofnodion sy’n cynnwys data personol gael eu trin â gofal mawr gan y gallai datgelu data personol heb awdurdod ddwyn canlyniadau niweidiol i unigolion a’r Cyngor.
Mae rolau a chyfrifoldebau penodol yn cynnwys:
- Mae gan y Cyngor gyfrifoldeb corfforaethol i gynnal ei gofnodion a’i systemau cadw cofnodion yn unol â gofynion deddfwriaethol gyda phwyslais arbennig ar atal data personol rhag cael ei ddatgelu heb awdurdod.
- Mae Cyfarwyddiaethau yn gyfrifol am sefydlu prosesau i gasglu gwybodaeth a chadw’r wybodaeth honno yn ôl yr hyn sy’n berthnasol i’r gwasanaethau y mae’n eu darparu.
- Yr Uwch Berchennog Risg Gwybodaeth (SIRO) yw’r swyddog sy’n atebol yn y pen draw am lywodraethu gwybodaeth yn y Cyngor. Mae’r Uwch Berchennog Risg Gwybodaeth yn hyrwyddo llywodraethu gwybodaeth ar ran y sefydliad.
- Perchnogion Asedau Gwybodaeth yw Cyfarwyddwyr/Penaethiaid Gwasanaeth/Rheolwyr Corfforaethol a hwy sy’n gyfrifol am yr holl wybodaeth a gaiff ei phrosesu yn eu gwasanaeth. Hwy sy’n gyfrifol am reoli eu cofnodion yn unol â’r polisi hwn ac mae angen iddynt ddeall pa wybodaeth a chofnodion a ddelir, sut y cânt eu defnyddio a’u trosglwyddo, pwy sydd â mynediad atynt a pham, i sicrhau y cydymffurfir â deddfwriaeth ac i leihau lefel y risg i’r eithaf. Hwy sy’n gyfrifol am sicrhau bod yr holl staff yn eu gwasanaeth yn gwybod sut i reoli cofnodion yn dda a’u bod yn gwneud hynny.
- Mae’r Swyddog Diogelu Data (DPO) yn cynorthwyo’r Cyngor i fonitro cydymffurfiaeth fewnol â Rheoliad Cyffredinol y DU ar Ddiogelu Data a chyfreithiau diogelu data eraill (a chydymffurfiaeth â pholisïau diogelu data’r Cyngor), mae’n hysbysu ac yn cynghori ynghylch rhwymedigaethau diogelu data, mae’n rhoi cyngor ynghylch Asesiadau Effaith Diogelu Data (DPIA) ac yn gweithredu fel pwynt cyswllt ar gyfer gwrthrychau data a Swyddfa’r Comisiynydd Gwybodaeth (ICO). O dan Reoliad Cyffredinol y DU ar Ddiogelu Data, rhaid i’r Cyngor (fel awdurdod cyhoeddus) benodi Swyddog Diogelu Data.
- Bydd yr Uwch Swyddog Llywodraethu Gwybodaeth yn cydlynu gweithgareddau, megis goruchwylio gwaith i gynnal y rhestr cadw gorfforaethol a gweithrediad strategol yr Uned Rheoli Cofnodion yn y Llwyn Helyg.
- Mae’r Prif Swyddog Diogelwch Gwybodaeth (CISO) a’r Adran TG yn gyfrifol am sefydlu a chynnal polisïau a gweithdrefnau diogelwch gwybodaeth a data’r Awdurdod sydd wedi’u bwriadu i ddal cofnodion yn ddiogel, sicrhau bod copïau wrth gefn yn cael eu creu, a diogelu data a gwybodaeth rhag bygythiadau mewnol ac allanol.
- Mae Gwarcheidwad Caldicott yn uwch unigolyn sy’n gyfrifol am ddiogelu cyfrinachedd gwybodaeth am iechyd a gofal pobl a gwneud yn siŵr ei bod yn cael ei defnyddio’n briodol. Rhaid bod gan bob awdurdod lleol sy’n darparu gwasanaethau cymdeithasol Warcheidwad Caldicott.
- Bydd holl gyflogeion y Cyngor yn gyfrifol am greu cofnodion eglur, cryno, cywir a chynnal y cofnodion hynny mewn perthynas â’u gweithgareddau yn y gwaith mewn modd sy’n hwyluso’r broses o adfer cofnodion pan fo’u hangen neu ar gyfer rhannu gyda chyrff perthnasol. Rhaid i holl gyflogeion y Cyngor fod yn ymwybodol o’u rhwymedigaethau mewn perthynas â ffeilio, cadw a gwaredu cofnodion.
- Mae’r Uned Rheoli Cofnodion (RMU) yn rhoi cyfarwyddyd ar gyfer rheoli cofnodion. Unwaith y mae’r cofnod wedi peidio â bod yn uniongyrchol berthnasol mwyach, dylid anfon cofnodion ffisegol i’r Uned Rheoli Cofnodion i gael eu storio nes bod y cyfnod cadw’n dod i ben. Mae cyfrifoldebau’r Uned Rheoli Cofnodion yn cynnwys sicrhau:
- Bod cofnodion yn cael eu cynnal mewn amgylchedd diogel gydag amodau da i’w gwarchod a’u storio’n ffisegol
- Bod cofnodion yn cael eu cadw’n ddiogel ac yn cael eu gwarchod rhag cael eu colli neu eu difa’n ddamweiniol neu’n fwriadol
- Bod cofnodion yn hygyrch i swyddogion i’w cynorthwyo i ffurfio barnau gwybodus a phriodol fel rhan o’u gwaith, ac i’w cynorthwyo wrth ymateb i geisiadau am wybodaeth
- Bod cofnodion yn cael eu cadw yn unol â’r rhestrau a luniwyd ar gyfer eu cadw, gan ystyried gofynion cyfreithiol ac arfer da cydnabyddedig, a’u bod yn cael eu gwaredu’n ddiogel ar ôl i’w cyfnod cadw ddod i ben a hynny’n unol â rhwymedigaethau cyfreithiol a rheoleiddiol
- Archifau Sir Benfro yw’r lle i adneuo Cofnodion Cyhoeddus yn Sir Benfro, a bydd yn cymryd gofal am gofnodion y tybir eu bod yn werth eu cadw’n barhaol.
4. Hyfforddiant, ymwybyddiaeth a pherchnogaeth
Bydd rheolwyr yn sicrhau bod staff sy’n gyfrifol am reoli cofnodion yn cael eu hyfforddi’n briodol a bod yr holl staff yn deall yr angen am reoli cofnodion. I gynorthwyo gyda hyn, mae’r Cyngor yn cynnig amrywiaeth eang o hyfforddiant i gyflogeion ar reoli cofnodion a diogelu data, fel a ganlyn.
Mae’n ofynnol i bob aelod o staff gwblhau hyfforddiant sefydlu gyda’u rheolwr llinell ar ddiwrnod cyntaf eu cyflogaeth. Mae’r hyfforddiant sefydlu’n nodi y bydd angen darllen a deall y Polisi Rheoli Cofnodion a’r Polisi Diogelu Data yn yr wythnos gyntaf.
Mae’n ofynnol i’r holl gyflogeion wneud y modiwl e-ddysgu Hanfodion Diogelu Data gorfodol yn flynyddol i sicrhau eu bod yn ymwybodol o’u rhwymedigaethau dan yr hawl statudol i wybodaeth (h.y. Diogelu Data, Rhyddid Gwybodaeth a Rheoliadau Gwybodaeth Amgylcheddol) a rheoli cofnodion.
Mae’r Cyngor hefyd yn darparu fideos byr i gyflogeion bob hyn a hyn trwy gydol y flwyddyn mewn perthynas â rheoli cofnodion, diogelu data a seiberddiogelwch. Darperir y fideos hyn gan ddarparwr allanol, Metacompliance.
Mae cyflogeion sy’n gweithio o fewn y timau Llywodraethu Gwybodaeth (Rheoli Cofnodion, Diogelu Data, Mynediad Gwrthrych, Rhyddid Gwybodaeth) yn meddu ar gymwysterau/profiad priodol ac yn cael hyfforddiant diweddaru rheolaidd.
5. Cadw cofnodion
Mae holl gyflogeion y Cyngor yn rhan o greu, cynnal a defnyddio cofnodion ac mae’n bwysig bod pawb yn deall sut y caiff cofnodion eu cynhyrchu a’u cadw yn eu maes gwasanaeth. Mae’r holl gofnodion a gaiff eu creu a’u derbyn gan Gyngor Sir Penfro’n eiddo i’r Cyngor a rhaid iddynt beidio â chael eu defnyddio ar gyfer unrhyw weithgaredd na diben heblaw busnes swyddogol y Cyngor. Dylai holl gyflogeion y Cyngor ddeall eu cyfrifoldebau rheoli cofnodion fel a nodir yn y polisi hwn.
Dylai cofnodion gael eu henwi a’u storio mewn modd cyson gyda blwyddyn, mis, diwrnod a theitl y ddogfen wedi’u nodi’n glir (e.e. 20220401 Polisi Rheoli Cofnodion).
Dylai cofnodion gael eu cadw’n ddiogel, a dylid eu cynnal a’u gwarchod am gyhyd ag y bo’u hangen i ddarparu mynediad atynt fel y bo angen i ategu gweithrediadau’r Cyngor, cyflawni ei rwymedigaethau statudol a’i rwymedigaethau cytundebol.
Rhaid i gofnodion perthnasol gael eu cadw i’r strwythur cofnodion/ffeiliau cynradd mwyaf priodol (e.e. Rheoli Dogfennau’n Ddigidol {EDM}) ac ni ddylid eu storio yn negeseuon e-bost/ffolderi/gyriannau/gyriannau caled personol cyflogeion yn CSP nac yn eu negeseuon e-bost/ffolderi/gyriannau/gyriannau caled personol hwy eu hunain y tu allan i CSP. Mae hyn yn bwysig i sicrhau bod cofnodion yn gywir, yn gyfoes a’u bod wastad ar gael i’r holl gyflogeion perthnasol. Mae cadw cofnodion yn cynnwys ac yn ymgorffori cofnodi a recordio cyfarfodydd. Mae holl gyfarfodydd ffurfiol y Cyngor yn cael eu gweddarlledu ac mae cofnodion yn cael eu cyhoeddi. Mae cyflogeion yn gyfrifol am sicrhau bod yr holl gyfarfodydd anffurfiol eraill yn cael eu dogfennu hefyd trwy gofnodion/cymryd nodiadau/pwyntiau gweithredu ar adeg y digwyddiad.
E-bost
Mae defnyddio e-bost yn gyfleus ac yn ei gwneud yn bosibl cyrraedd cynulleidfa fawr mewn eiliadau. Fodd bynnag, mae hyn yn dwyn heriau a dylai cyflogeion gadw mewn cof nad systemau cadw cofnodion yw systemau e-bost, ac mai dim ond yn y tymor byr y dylai negeseuon gael eu storio o fewn y system e-bost.
Nid oes angen i’r mwyafrif llethol o negeseuon e-bost (megis cyhoeddiadau a chylchlythyrau mewnol, ymatebion i geisiadau am gyfarfodydd a lle mae copi wedi cael ei anfon at y derbynnydd er gwybodaeth ac ati) gael eu cadw yn y tymor hir a dylai’r rhain gael eu dileu’n rheolaidd. Fodd bynnag, mae rhai negeseuon e-bost yn gofnodion ar gyfer y Cyngor ac mae’n bwysig bod y rhain yn cael eu storio’n briodol yn y strwythur cofnodion/ffeiliau cynradd priodol y tu allan i’r system e-bost. Mae cadw cofnodion pwysig mewn blychau e-bost personol yn eu datgysylltu oddi wrth wybodaeth gysylltiedig arall, yn eu gwneud yn llai hygyrch i’r sefydliad ehangach, ac yn eu gwneud yn fwy tueddol o gael eu colli. Mae angen i gofnodion e-bost gael eu rheoli’n briodol yn union fel unrhyw gofnod arall a dylent gael eu cadw i’r strwythur cofnodion/ffeiliau cynradd priodol cyn gynted â phosibl fel bod cofnodion yn gywir ac yn gyfoes gyda’r holl wybodaeth yn cael ei storio mewn un lleoliad.
Er bod rheoli negeseuon e-bost yn gallu mynd â llawer o amser ac er y gall nifer ei ystyried yn faich, mae angen dull cyson ar draws y sefydliad i sicrhau bod cofnodion yn cael eu rheoli’n dda ac nad yw cofnodion e-bost corfforaethol yn cael eu colli. Mae’r Ddeddf Diogelu Data’n ei gwneud yn ofynnol hefyd nad yw data personol yn cael ei gadw am yn hwy nag sy’n angenrheidiol felly ni ddylai negeseuon e-bost sy’n cynnwys gwybodaeth bersonol cael eu cadw am gyfnod amhenodol.
Ceir rhai awgrymiadau i’w hystyried er mwyn rheoli eich negeseuon e-bost yn fwy effeithlon yn Atodiad A.
Microsoft Teams
Llwyfan cydweithio sy’n cynnig y gallu i rannu dogfennau, cyfarfodydd ar-lein a chyfleuster sgwrsio yw Microsoft Teams y mae’r defnydd ohono wedi cynyddu’n sylweddol gyda’r newid i ffyrdd mwy ystwyth o weithio. Dylai unrhyw ddogfennau a rennir trwy Microsoft Teams gael eu storio’n briodol yn y strwythur cofnodion/ffeiliau cynradd priodol y tu allan i Microsoft Teams.
Byddai unrhyw wybodaeth neu ddogfennau a gaiff eu storio yn Microsoft Teams yn cael eu hystyried yn gofnodion a chan hynny byddai angen iddynt gydymffurfio â’r canllawiau a nodir yn y Polisi Rheoli Cofnodion hwn. Gall gwybodaeth neu ddogfennau a gaiff eu storio yn Microsoft Teams fod yn destun Ceisiadau Rhyddid Gwybodaeth neu Geisiadau Gwrthrych am Wybodaeth. Dylid sicrhau yr atodir cyn lleied â phosibl o ddata personol neu wybodaeth sensitif/gyfrinachol yn Microsoft Teams.
Ceir rhai awgrymiadau i’w hystyried wrth gyfathrebu gan ddefnyddio Microsoft Teams yn Atodiad B.
Sianeli Cyfathrebu Anghorfforaethol
Mae newidiadau technolegol (apiau negeseua, llwyfannau a sianeli newydd sy’n datblygu dros amser) a’r newid i ffyrdd mwy ystwyth o weithio’n golygu bod defnyddio sianeli cyfathrebu anghorfforaethol (e.e. WhatsApp, Twitter, Facebook Messenger, negeseuon testun) ar gyfer busnes swyddogol yn fater sydd wedi codi ar draws ystod o sectorau. Mae’r tîm TG yn sicrhau bod unigolion perthnasol yn gallu cael mynediad at systemau ac offer TG swyddogol, a ddylai olygu nad oes angen iddynt ddefnyddio sianeli anghorfforaethol er mwyn cyflawni eu rolau.
Hyd y bo’n rhesymol ymarferol dylid wastad defnyddio sianeli corfforaethol ar gyfer busnes swyddogol. Lle nad yw hyn yn bosibl am ba bynnag reswm, dylai trefniadau i storio busnes swyddogol sy’n gysylltiedig â’r Cyngor ar y systemau corfforaethol gael eu gwneud mor gyflym â phosibl.
Mae defnyddio sianeli cyfathrebu anghorfforaethol yn creu nifer o risgiau a heriau posibl ar gyfer rheoli cofnodion. Er enghraifft:
- Mae sianeli o’r fath yn aml yn cynnig gallu cyfyngedig i chwilio.
- Mae’r cyfnodau cadw a dileu ar sianeli o’r fath yn annhebygol o gyd-fynd â’r rhai’r systemau swyddogol. Yn arbennig, ceir risg na fydd gwybodaeth ar sianeli anghorfforaethol ond yn cael ei dal am gyfnod cyfyngedig neu y bydd negeseuon yn cael eu dileu’n awtomatig.
- Mae sianeli o’r fath yn aml yn cynnig gallu cyfyngedig i allgludo gwybodaeth i systemau swyddogol neu i greu cofnodion y gellir eu trosglwyddo i systemau swyddogol.
- Gall mynediad at yr wybodaeth fod yn gyfyngedig i un unigolyn neu grŵp bach, ond gallai fod angen busnes i drefnu bod gwybodaeth o’r fath ar gael yn fwy eang.
- Os yw unigolyn yn gadael y sefydliad neu’n newid rôl, gall mynediad at wybodaeth swyddogol a ddelir mewn cyfathrebiadau anghorfforaethol gael ei golli.
- Gall defnyddio sianeli o’r fath i gyfleu gwybodaeth swyddogol ei gwneud hi’n anos i’r Cyngor gyflawni ei rwymedigaethau dan gyfraith diogelu data.
Gall sianeli anghorfforaethol gael eu defnyddio weithiau i gyfnewid gwybodaeth am ddigwyddiadau brys neu uchel eu proffil sy’n datblygu’n gyflym. Fodd bynnag, efallai y bydd craffu allanol ar rôl y Cyngor mewn digwyddiadau o’r fath maes o law, megis trwy ymchwiliad, cwest neu ymchwiliad. Felly mae’n bwysig bob yn ymwybodol o bwysigrwydd casglu gwybodaeth swyddogol sydd wedi’i chynnwys ar sianeli anghorfforaethol am ddigwyddiadau o'r fath at ddibenion craffu yn y dyfodol. Yn yr amgylchiadau prin lle defnyddir sianeli cyfathrebu anghorfforaethol ar gyfer busnes swyddogol dylid rhoi’r mesurau lliniaru isod ar waith.
- Os defnyddir e-bost preifat ar gyfer busnes cyhoeddus yr Awdurdod yna dylid anfon copi i un o gyfrifon e-bost y Cyngor er mwyn sicrhau cyflawnrwydd cofnodion y Cyngor.
- Mae angen i unrhyw un sy’n defnyddio sianeli cyfathrebu anghorfforaethol ddeall sut i drosglwyddo neu allgludo gwybodaeth o’r ap neu’r llwyfan negeseua i systemau swyddogol.
Mae’n bwysig bod prosesau o'r fath i drosglwyddo neu allgludo gwybodaeth yn digwydd yn fynych. Mae mynychder trosglwyddo’n dibynnu ar gynnwys a chyd-destun yr wybodaeth,
- gan gynnwys pa mor aml y mae unigolyn yn defnyddio sianel anghorfforaethol benodol. Fodd bynnag, dylai trosglwyddiadau ddigwydd yn sicr pan wneir penderfyniadau allweddol, neu pan fo unigolyn yn newid rôl.
- Dylai gwybodaeth a drosglwyddir neu a allgludir gael ei gosod ar system swyddogol â chyfnod cadw priodol.
- Dylai unigolion fod yn ymwybodol o’r potensial i sgwrs breifat ar sianeli anghorfforaethol 'droi'n' drafodaeth am faterion swyddogol. Er enghraifft, trafodaeth am ddigwyddiad cymdeithasol yn troi’n drafodaeth am gyfarfod gwaith. Ar yr adeg y mae’r drafodaeth yn dod yn fusnes swyddogol, dylid defnyddio sianeli cyfathrebu swyddogol (neu o leiaf dylai’r rhan swyddogol o’r sgwrs gael ei hanfon ymlaen i system swyddogol).
- Os defnyddir gwasanaethau gwib-negeseua, yna dylai opsiynau dileu awtomatig fod yn gyson â pholisïau cadw systemau swyddogol.
- Pan fo unigolyn yn gadael y Cyngor, rhaid i unrhyw wybodaeth swyddogol a ddelir ganddynt ar sianeli anghorfforaethol gael ei throsglwyddo i system swyddogol.
Mae gwybodaeth gofnodedig a ddelir gan unigolion mewn sianeli cyfathrebu anghorfforaethol sy’n ymwneud â busnes y Cyngor yn debygol o fod yn cael ei dal ar ran y Cyngor ac felly mae’r Ddeddf Rhyddid Gwybodaeth yn berthnasol iddi hefyd. Gellir gofyn i unigolion chwilio trwy eu cyfrifon a/neu ddyfeisiau, os penderfynir y gallai eu cyfrif e-bost personol, cyfrifon negeseua personol neu ddyfais symudol bersonol gynnwys gwybodaeth sydd o fewn cwmpas cais Rhyddid Gwybodaeth.
Mae dileu, difa neu gelu gwybodaeth gyda’r bwriad o’i hatal rhag cael ei datgelu yn dilyn cael cais Rhyddid Gwybodaeth yn dramgwydd troseddol. Gall y trosedd hwn fod yn berthnasol i awdurdod cyhoeddus ac i unrhyw unigolyn a gyflogir gan y Cyngor, sy’n un o swyddogion y Cyngor, neu a gyfarwyddir gan y Cyngor. Er enghraifft, lle mae gwybodaeth y mae cais yn ymwneud â hi’n cael ei thrin yn fwriadol fel gwybodaeth nad yw’n cael ei dal am ei bod mewn sianel gyfathrebu anghorfforaethol, gall hyn gyfrif fel achos o gelu gwybodaeth sydd wedi’i fwriadu i’w hatal rhag cael ei datgelu. Gallai’r sawl sy’n celu’r wybodaeth gael ei erlyn.
6. Cadw a gwaredu
Cadw Cofnodion
Ni ddylai cofnodion gael eu cadw am yn hwy nag sy’n angenrheidiol. Bydd sicrhau bod cofnodion yn cael eu gwaredu pan nad oes mo’u hangen mwyach yn lleihau’r risg y byddant yn datblygu i fod yn amherthnasol, yn ormodol, yn anghywir neu’n hen. Mae’n aneffeithlon dal cofnodion am yn hwy nag y mae angen, a gall fod costau diangen yn gysylltiedig â storio a diogelwch. Mae’r risg o danseilio diogelwch data’n cynyddu lle mae mwy o ddata’n cael ei ddal nag sy’n angenrheidiol (e.e. cofnodion sy’n gysylltiedig â ffeiliau/gwrthrychau data anghywir neu’n cael eu rhannu â chorff/parti arall mewn camgymeriad). Rhaid i’r Cyngor ymateb i Geisiadau Gwrthrych am Wybodaeth, ceisiadau Rhyddid Gwybodaeth a cheisiadau dan y Rheoliadau Gwybodaeth Amgylcheddol hefyd a bydd hyn yn anos os yw cofnodion yn cael eu dal am yn hwy nag y mae angen. Mae felly’n bwysig bod gan y Cyngor arfer da o ran cyfyngu ar storio gyda pholisïau eglur ar gyfnodau cadw a dileu.
Perchnogion Asedau Gwybodaeth sy’n gyfrifol am bennu rhestrau cadw ar gyfer eu meysydd gwasanaeth a'r rheiny’n nodi am faint o amser y mae angen cadw gwahanol fathau o wybodaeth (ffisegol, digidol a chlyweledol), pryd y dylid eu gwaredu, a sicrhau y cydymffurfir â’r rhain. Dylai hyn ddarparu digon o wybodaeth i adnabod yr holl gofnodion. Wrth bennu cyfnodau cadw, dylai Perchnogion Asedau Gwybodaeth ystyried:
- y dibenion a ddatganwyd ar gyfer prosesu’r cofnodion. Gellir cadw cofnodion am gyhyd ag y bo’r diben yn berthnasol o hyd, ond ni ddylid cadw cofnodion am gyfnod amhenodol, ‘rhag ofn’, neu os nad oes ond posibilrwydd bach y byddant yn cael eu defnyddio. Dylai Perchnogion Asedau Gwybodaeth allu cyfiawnhau pa mor hir y maent yn cadw cofnodion.
- unrhyw ofynion cyfreithiol neu reoleiddiol. Ceir amryw ofynion cyfreithiol a chanllawiau proffesiynol ynghylch cadw rhai mathau o gofnodion, megis gwybodaeth y mae ei hangen at ddibenion treth incwm ac archwilio, neu wybodaeth am agweddau ar iechyd a diogelwch.
- bod unrhyw safonau neu ganllawiau perthnasol ar gyfer y diwydiant yn cael eu hystyried. Fodd bynnag, nid yw’r rhain yn gwarantu cydymffurfiaeth a rhaid i Berchnogion Asedau Gwybodaeth ddal i allu egluro pam fod cyfiawnhad dros y cyfnodau hynny, a’u hadolygu’n gyson.
- pa un a oes angen cadw cofnod o berthynas ag unigolyn unwaith y mae’r berthynas honno’n dod i ben. Gall fod angen cadarnhad bod y berthynas wedi bodoli, a’i bod wedi dod i ben. Os nad oes angen adnabod unigolion, yna gellir gwneud cofnodion yn ddienw fel nad yw’n bosibl eu hadnabod mwyach.
Y peth pwysig i’w gofio yw y dylid gallu cyfiawnhau’r holl derfynau amser ar gyfer cadw cofnodion.
Bydd angen i Berchnogion Asedau Gwybodaeth sicrhau bod rhestrau cadw’n cael eu dogfennu, yn cael eu diweddaru’n rheolaidd, ac y trefnir eu bod ar gael i bob aelod o staff o fewn eu gwasanaeth. Mae cyfrifoldeb ar bob cyflogai i wneud yn siŵr eu bod yn ymlynu wrth y rhestrau ac yn adolygu cofnodion yn rheolaidd. Dylai’r holl gofnodion gael eu hadolygu ar ddiwedd y cyfnod cadw a bennwyd, a dylent gael eu gwaredu neu eu gwneud yn ddienw oni bai bod cyfiawnhad eglur dros eu cadw am yn hwy.
Ar gyfer cofnodion a ddelir yn yr Uned Rheoli Cofnodion, bydd Perchnogion Asedau Gwybodaeth yn cael negeseuon atgoffa pan fo terfynau amser cadw gerllaw a dylai’r Perchennog Asedau Gwybodaeth roi cadarnhad o’i gymeradwyaeth i waredu’r cofnodion hyn, neu roi gwybod beth yw’r cam nesaf. Bydd achos o beidio â chydymffurfio â’r broses hon yn cael ei uwchgyfeirio at y Cyfarwyddwr perthnasol, y Prif Weithredwr a/neu’r Uwch Berchennog Risg Gwybodaeth (SIRO).
Caiff rhestrau cadw cofnodion gwasanaethau unigol eu coladu ar Restr Cadw a Gwaredu’r Cyngor.
Gwaredu Cofnodion
Pan nad oes angen cofnodion ar y Cyngor mwyach dylid eu difa’n ddiogel. Ni ddylid mynd ati i ddifa cofnodion heb gymeradwyaeth gan y Perchennog Asedau Gwybodaeth perthnasol. Dylid creu cofnod sy’n nodi beth gafodd ei ddifa, pryd y cafodd ei ddifa, a phwy oedd yr unigolyn a awdurdododd ei ddifa.
Dylai cofnodion gael eu difa’n ddiogel. Dylai cofnodion ffisegol gael eu rhwygo a’u gosod mewn gwastraff cyfrinachol. Dylai cofnodion a gaiff eu storio’n ddigidol gael eu dileu mewn modd sy’n golygu na ellir eu hadfer (nid eu trosysgrifo), gan gynnwys unrhyw gopïau wrth gefn, a dylent gael eu dileu gan swyddog sydd â mynediad priodol at y system/gyriant y mae’r cofnodion yn cael eu dileu ohono/ohoni. Pan gaiff gwybodaeth ei difa, dylai’r holl gopïau o’r wybodaeth gael eu difa ar yr un pryd (yn rhai digidol a ffisegol). Ni ellir ystyried bod gwybodaeth wedi cael ei difa’n llwyr nes bod pob copi wedi cael ei ddifa.
7. Cofnod o weithgareddau prosesu
Mae Erthygl 30 Rheoliad Cyffredinol y DU ar Ddiogelu Data (UK GDPR) yn nodi’r gofynion i reolyddion data gynnal cofnod o weithgareddau prosesu (ROPA). Mae gan y Cyngor Gofnod o Weithgareddau Prosesu sy’n ffurfiol, wedi’i ddogfennu, yn gynhwysfawr ac yn gywir yn seiliedig ar ymarfer mapio data. Caiff y Cofnod o Weithgareddau Prosesu ei gadw ar system archwilio Pentana.
Mae’r Cofnod o Weithgareddau Prosesu’n dogfennu holl weithgareddau prosesu’r Cyngor ynghyd â gwybodaeth allweddol, gan gynnwys:
- diben/natur y prosesu
- pa un ai’r Cyngor yn rheolydd data, cyd-reolydd data ynteu’n brosesydd data
- disgrifiad o’r categorïau unigolion a data personol
- categorïau derbynyddion data personol
- manylion trosglwyddiadau i drydydd gwledydd, a’r mesurau diogelu perthnasol a roddwyd ar waith
- rhestrau cadw
- disgrifiad o’r mesurau diogelwch technegol a sefydliadol a roddwyd ar waith
- lleoliad y data personol
- y sail gyfreithlon ar gyfer prosesu
Byddir yn gofyn i Berchnogion Asedau Gwybodaeth adolygu’r Cofnod o Weithgareddau Prosesu ar gyfer eu gwasanaeth yn flynyddol i gadarnhau ei fod yn dal i fod yn gywir ac yn gyfoes.
Mae rheolydd data’n golygu’r unigolyn, awdurdod cyhoeddus, asiantaeth neu gorff arall naturiol neu gyfreithiol sydd, yn unigol neu ar y cyd ag eraill, yn pennu dibenion prosesu a’r dull o brosesu data personol. Mae Cyngor Sir Penfro’n rheolydd data.
Mae prosesydd data’n golygu unigolyn, awdurdod cyhoeddus, asiantaeth neu gorff arall naturiol neu gyfreithiol sy’n prosesu data personol ar ran y rheolydd. Er enghraifft, byddai iTrent (sy’n darparu system gyflogres yr Awdurdod) yn brosesydd data i’r Cyngor.
8. Ansawdd data
Dylai Perchnogion Asedau Gwybodaeth sicrhau bod gweithdrefnau yn eu lle o fewn eu gwasanaeth i wneud yn siŵr bod cofnodion yn gywir ac yn gyfoes, yn ddigonol, ac nad ydynt yn ormodol. Mae hyn yn cynnwys sicrhau bod staff yn deall eu cyfrifoldebau am ansawdd data a sicrhau bod cofnodion yn gywir ac yn gyfoes. Dylai cofnodion gael eu hadolygu a’u ‘chwynnu’ o bryd i’w gilydd (o leiaf bob 6 mis) i leihau’r risg o anghywirdebau, dyblygu a chadw gormodol.
9. Rheoli mynediad a diogelwch
Mae gan y Cyngor Bolisi Diogelwch TGCh, Bolisi Gweithio Gartref a Pholisi Diogelu Data sy’n nodi’r arferion sefydliadol y mae’n rhaid i gyflogeion eu dilyn.
Perchnogion Asedau Gwybodaeth sy’n gyfrifol am sicrhau bod cyflogeion o fewn eu gwasanaeth yn ymlynu wth y polisïau hyn, a bod mynediad at unrhyw gofnodion, boed hynny fel rhan o systemau’r gwasanaeth neu yriannau a rennir, yn unol â’r polisïau hyn.
Mae gan y Cyngor fesurau diogelwch priodol i ddiogelu cofnodion sydd wrthi’n cael eu cludo, cofnodion y mae’n eu cael, a chofnodion a drosglwyddir i sefydliad arall. Dylid cyfyngu i’r eithaf ar y cofnodion personol neu gyfrinachol a drosglwyddir oddi ar y safle i sefydliad arall a lle mae hyn yn digwydd dylai’r cofnodion hyn gael eu cadw’n ddiogel wrth eu cludo. Dylid defnyddio dull cludo/diogelu priodol megis amgryptio, diogelu â chyfrinair, neu ddefnyddio’r porth Transfer 2 (gellir cael rhagor o wybodaeth am hyn gan y gwasanaeth TG).
10. Deddfwriaeth allweddol/darllen pellach
- Materion yn Ymwneud â Rheoli Cofnodion yn Dda (yn agor mewn tab newydd)
- Rheoliad Cyffredinol y Deyrnas Unedig ar Ddiogelu Data (UK GDPR) (yn agor mewn tab newydd)
- Deddf Diogelu Data 2018 (yn agor mewn tab newydd)
- Swyddfa’r Comisiynydd Gwybodaeth – Rheoli Cofnodion a’u Diogelwch (yn agor mewn tab newydd)
- Canllawiau Trin Data ar gyfer Gwasanaethau Cyhoeddus Lleol (yn agor mewn tab newydd)
- Cymdeithas Rheoli Cofnodion Prydain Fawr – Canllawiau Cadw ar gyfer Awdurdodau Lleol (yn agor mewn tab newydd)
Atodiad A – Awgrymiadau i reoli e-bost yn effeithlon
Cadw negeseuon e-bost sy’n gofnodion i’r strwythur cofnodion/ffeiliau cynradd
- Os oes gennych neges e-bost sy’n cynnwys atodiad, ystyriwch ai dim ond y ddogfen a anfonwyd gyda’r neges y mae arnoch angen ei chadw ynteu a yw’r neges e-bost yn bwysig i ddeall cyd-destun yr atodiad. Os mai dim ond yr atodiad y mae arnoch ei angen, cadwch y ddogfen honno ar ei phen ei hun i’r strwythur cofnodion/ffeiliau cynradd.
- Os oes arnoch angen cadw neges e-bost neu neges e-bost sy’n cynnwys atodiad llusgwch y neges a’i gollwng yn y cofnod cynradd neu agorwch y neges a chliciwch ar Ffeil>Dewisiadau Cadw, gan sicrhau bod y cofnod yn cael ei gadw/enwi yn unol â’r polisi hwn gan nodi’r flwyddyn, mis, diwrnod a theitl y ddogfen (e.e. 20220401 Polisi Rheoli Cofnodion). Fel hyn rydych yn sicrhau bod yr wybodaeth yn cael ei diogelu (mae’r Gwasanaethau TG yn creu copïau wrth gefn o’r lleoliadau hyn yn rheolaidd) ac rydych yn cynnal fformat gwreiddiol y neges e-bost, sef .msg. Unwaith y mae’r cofnod e-bost wedi cael ei gadw’n ddiogel yn y strwythur cofnodion/ffeiliau cynradd gallwch ddileu’r neges o’ch mewnflwch.
- Dilëwch negeseuon e-bost pan nad oes mo’u hangen mwyach – dylech ddileu negeseuon e-bost pan nad oes mo’u hangen mwyach at ddibenion gweithredol a phan nad y rhain yw’r fersiwn gynradd neu’r unig fersiwn o gofnod y mae’n ofynnol i ni ei gadw yn unol â’r gofrestr cadw. Gall defnyddwyr adfer negeseuon e-bost a ddilëwyd am 14 diwrnod ar ôl eu dileu trwy ‘Adfer Eitemau a Ddilëwyd o’r Gweinydd’.
- Amgryptiwch unrhyw negeseuon e-bost cyfrinachol neu negeseuon e-bost sy’n cynnwys data personol wrth eu hanfon at dderbynnydd y tu allan i CSP.
- Peidiwch â thrin e-bost fel y dull cyfathrebu diofyn – gall sgwrs yn y cnawd, dros y ffôn neu dros Teams fod yn fwy priodol.
- Glanhewch ffolderi Anfonwyd a Dilëwyd yn rheolaidd – mae eich ffolderi Anfonwyd a Dilëwyd yn cyfrannu at faint eich cyfrif e-bost. Mae’n syniad da glanhau eich ffolder Anfonwyd yn rheolaidd i gael gwared ar negeseuon e-bost sy’n mynd â lle storio gwerthfawr trwy eu dileu neu eu cadw i’r strwythur cofnodion/ffeiliau cynradd. I wagio eich ffolder Dilëwyd ewch i Ffeil>Offer Glanhau>Gwagio ffolder Dilëwyd. Yn well byth, trefnwch fod eich ffolder Dilëwyd yn gwagio’n awtomatig bob tro y byddwch yn mynd allan o’ch cyfrif e-bost: ewch i Ffeil>Dewisiadau>Mwy ac o dan ‘Cychwyn a chau Outlook’ ticiwch y blwch ar gyfer Gwagio’r ffolderi Dilëwyd wrth gau Outlook.
- Cyfyngwch ar y defnydd o ffeiliau .pst (Ffolderi Personol) – ffeil data Outlook a ddefnyddir i storio copïau lleol o negeseuon e-bost yw ffeil .pst (Ffolderi Personol). Mae defnyddwyr weithiau’n archifo negeseuon e-bost mewn ffeiliau .pst ond er y gall hynny fod yn gyfleus i’r defnyddiwr unigol, nid yw hyn o gymorth i rannu gwybodaeth drwy’r sefydliad cyfan nac i reoli cofnodion yn effeithiol a gall arwain at gadw negeseuon e-bost sy’n cynnwys data personol am yn hwy nag sy’n briodol. Mae negeseuon e-bost .pst yn cael eu storio ar y ddyfais hefyd, a bydd colli’r ddyfais neu lygru’r ffeil yn arwain at golli’r negeseuon e-bost hynny.
Atodiad B – Awgrymiadau i’w Hystyried wrth gyfathrebu gan ddefnyddio Microsoft Teams
- Ni ddylid ond caniatáu mynediad allanol at Teams pan fo hynny’n ofynnol ac unwaith y cymeradwywyd hynny gan y Perchennog Asedau Gwybodaeth.
- Peidiwch â lanlwytho ffeiliau i Teams oni bai bod angen iddynt fod yno.
- Dylai mynediad at unrhyw ddogfennau a rennir yn Teams fod yn gyfyngedig i’r nifer lleiaf posibl o unigolion.
- Peidiwch â lanlwytho ffeil i Teams ac yna anfon neges e-bost at bawb hefyd gyda’r un ddogfen wedi’i hatodi i roi gwybod iddynt ei bod wedi cael ei lanlwytho i Teams.
- Dylid atodi cyn lleied â phosibl o ddata personol a gwybodaeth sensitif/gyfrinachol yn Teams.
- Ni ddylid ond rhannu data personol gyda phobl eraill os oes sail gyfreithlon i wneud hynny. Os yw data personol yn cael ei rannu’n rheolaidd dylid sefydlu cytundeb rhannu data/prosesu data.
- Mae Ceisiadau Rhyddid Gwybodaeth a Cheisiadau Gwrthrych am Wybodaeth yn berthnasol i wybodaeth a gofnodir ar Microsoft Teams a gall fod yn rhaid datgelu’r wybodaeth dan y ddeddfwriaeth hon. Dylech wastad fod yn ochelgar ynghylch yr hyn yr ydych yn ei gofnodi ar Microsoft Teams. Bob amser wrth gofnodi, byddwch yn gywir, dangoswch barch tuag at eraill a chofnodwch yr hyn sy’n angenrheidiol a dim ond hynny.
- Wrth anfon unrhyw gyfathrebiad trwy Microsoft Teams, gwnewch yn siŵr eich bod yn dewis y derbynnydd/derbynwyr cywir i osgoi unrhyw achosion posibl o danseilio diogelwch data.
- Mae postiadau a sgyrsiau ar Microsoft Teams yn cael eu cadw’n barhaol oni bai eich bod yn gweithredu i’w dileu.
- Mae canllawiau mewn perthynas â Teams ar gael ar y Porth Hunanwasanaeth TG.