Polisi rheoli gwybodaeth a llywodraethu

1. Cefndir

Mae'r polisi'n diffinio sut mae gwybodaeth ACC i gael ei gwneud yn hygyrch i bawb sydd ag angen busnes i’w gweld, yn fewnol ac yn allanol. Bydd gwybodaeth yn parhau i fod yn hygyrch ac y gellir dod o hyd iddi cyhyd ag y mae ei hangen a bydd yn cael ei chadw'n barhaol lle bo hynny'n briodol.

Er mwyn cydymffurfio â Deddf Cofnodion Cyhoeddus 1958 a deddfwriaeth rheoli gwybodaeth arall, mae angen i ACC wybod pa wybodaeth sydd ganddo, pa mor hen ydyw a sicrhau ei bod yn dystiolaeth ddibynadwy. Ar gyfer gwybodaeth sensitif, gan gynnwys yr hyn a gwmpesir gan y Rheoliad Cyffredinol y DU ar Ddiogelu Data (GDPR y DU), Deddf Diogelu Data 2018 a Chyfarwyddeb Gorfodi'r Gyfraith (LED) 2018, mae'n rhaid i ni allu caniatáu mynediad i'r rhai sydd angen gweld y wybodaeth hon ac atal eraill rhag cael mynediad. Mae angen i ni hefyd allu nodi gwybodaeth bersonol, gwybod gyda phwy y mae'n cael ei rhannu, a chael gwared ar wybodaeth nad oes gennym bellach hawl i'w chadw.

Mae’r polisi hwn yn berthnasol i’r holl bersonél sy’n gwneud gwaith ar ran ACC. Mae hyn yn cynnwys gweithwyr parhaol a dros dro, rhai ar secondiad, ymgynghorwyr, cyflenwyr, partneriaid, contractwyr ac isgontractwyr. Rhaid i unrhyw swyddog perthnasol fel y’i ddiffinnir yn adran 17 Deddf Casglu a Rheoli Trethi (Cymru) 2016 (DCRhT), lofnodi cytundeb cyfrinachedd yn unol ag adran 19 DCRhT.

2. Pam fod angen polisi rheoli gwybodaeth a llywodraethu arnom? 

Mae Cod y Gwasanaeth Sifil yn ei gwneud yn ofynnol i staff Llywodraeth Cymru “gadw cofnodion swyddogol cywir ac ymdrin â gwybodaeth mewn modd mor agored â phosibl o fewn y fframwaith cyfreithiol”. Mae Cod y Gwasanaeth Sifil yn berthnasol i bob gwas sifil cartref sy'n aelodau o staff Llywodraeth Cymru ac ACC fel Adran an-Weinidogol o Lywodraeth Cymru.

Fel Adran Anweinidogol o Lywodraeth Cymru mae hyn hefyd yn berthnasol i staff ACC.

Mae deddfwriaeth Rhyddid Gwybodaeth a Diogelu Data’n rhoi pwyslais mawr ar allu ACC i sicrhau bod gwybodaeth nad yw’n Wybodaeth Warchodedig am Drethdalwr (PTI) ar gael i’r cyhoedd, yn ogystal â phrosesu PTI, a data personol a data personol sensitif yn briodol.

Mae’r rhwymedigaethau cyfreithiol hyn yn tynnu sylw at yr angen i fframwaith effeithiol ar gyfer rheoli gwybodaeth a chofnodion fod yn ei le ar draws y sefydliad fel mecanwaith ar gyfer rheoli a chyrchu gwybodaeth ar alw a sicrhau prosesu data personol a data personol sensitif yn briodol.

Y prif ddarnau o ddeddfwriaeth yw:

• Deddf Cofnodion Cyhoeddus 1958 ac 1967
• Deddf Llywodraeth Cymru 1998 a 2006
• GDPR y DU
• Deddf Diogelu Data 2018  
• Deddf Rhyddid Gwybodaeth 2000 - gan gynnwys Cod Ymarfer yr Arglwydd Ganghellor ar Reoli Cofnodion a gyhoeddwyd dan Adran 46
• Rheoliadau Gwybodaeth Amgylcheddol 2004 (EIR)   
• Y Gyfarwyddeb Ewropeaidd ar Ailddefnyddio Gwybodaeth y Sector Cyhoeddus 2003 a 
• Deddf Diogelu Rhyddidau 2012 (Rhan 6 Adran 102)
• Deddf Diwygio Cyfansoddiadol a Llywodraethu 2010 (Rhan 6 Adrannau 45 a 46)
• Deddf Hawlfraint, Dyluniadau a Phatentau 1988
• Rheoliadau Ail-ddefnyddio Gwybodaeth y Sector Cyhoeddus 2015

Mae rheoli’r wybodaeth hon yn unol â safonau cytunedig fel y caiff ei chreu yn hanfodol os yw'r cofnodon hynny am gael eu deall neu eu defnyddio yn y dyfodol. Mae argaeledd y wybodaeth neu’r cofnod, y gallu i’w ailddefnyddio a hyd ei oes yn dibynnu ar iddo gael ei reoli’n unol â’i gyd-destun a’i werth.

Mae angen gwybodaeth a chofnodion hefyd i ddarparu trywydd archwilio tystiolaeth. Yn ogystal â ffurfio tystiolaeth o’r trafodiadau a wneir gennym, mae llawer o gofnodion yn diffinio’r terfynau y mae’n rhaid i’r trafodiadau hyn ddigwydd o’u mewn ac yn pennu’r ffordd y gweithredir hwy. Cymerir penderfyniadau pwysig yn erbyn cynnwys y cofnodion hyn fel y maent yn bodoli ar y pryd. Mae felly’n hanfodol gallu pennu’n union beth a ddywed cofnod ar unrhyw bwynt mewn amser er mwyn gwirio dilysrwydd y penderfyniadau a wnaed.

Caiff cofnodion a gwybodaeth eu cadw hefyd er mwyn cynnal cof corfforaethol. Mae’n hanfodol i swyddogion ACC gael mynediad amserol at gofnodion y sefydliad er mwyn gwneud penderfyniadau ar sail tystiolaeth, dadansoddi data a gweithgareddau cydymffurfio cadarn.

Nod y polisi yw sicrhau bod pob parti’n ymwybodol o’u rhwymedigaethau personol o ran creu a rheoli gwybodaeth a chofnodion yn effeithlon, yn gost-effeithiol ac yn unol â’r gyfraith. Mae’r ddogfen hon yn esbonio egwyddorion Rheoli Gwybodaeth ACC. 

Mae gwybodaeth a chofnodion a gaiff eu creu gan yr holl bersonél yn parhau’n eiddo i ACC dan delerau Hawlfraint y Goron.  Caiff ailddefnyddio gwybodaeth y Llywodraeth ei amlinellu yn Rheoliadau Ailddefnyddio Gwybodaeth Sector Cyhoeddus 2015. Gweler hefyd Ddatganiad Gorchwyl Cyhoeddus ACC a gyhoeddwyd ar wefan ACC.

Cwmpas y polisi hwn yw'r holl wybodaeth a chofnodion a grëir wrth gyflawni swyddogaethau ac amcanion ACC.

Mae’r Safon ISO, ISO 15489-1: 2016 Gwybodaeth a dogfennaeth - Rheoli cofnodion  yn diffinio cofnod fel 'gwybodaeth a grëir, a dderbynnir, ac a gynhelir fel tystiolaeth a gwybodaeth gan sefydliad neu berson, yn unol â rhwymedigaethau cyfreithiol neu wrth gynnal busnes'. Mae'n berthnasol i greu, dal a rheoli gwybodaeth a chofnodion waeth beth fo'u strwythur neu ffurf, ym mhob math o amgylcheddau busnes a thechnolegol, dros amser.
Mae’r polisi hwn yn ymwneud â gwybodaeth sy’n cael ei chreu a’i chadw ym mhob fformat a chyfrwng gan gynnwys, ond heb fod yn gyfyngedig, i'r canlynol: 

• data trethi, digidol ac ar bapur, a’r holl weithgareddau cysylltiedig lle y caiff data’n ymwneud â threthi ei greu neu ei dderbyn
• dogfennau, cyflwyniadau a thaenlenni sy’n cael eu derbyn a’u storio’n ddigidol
• ffeiliau papur
• cyfryngau cymdeithasol, wicis a blogiau
• e-byst
• dyddiaduron
• ffacsiau
• llyfrynnau ac adroddiadau
• tudalennau ACC ar y fewnrwyd a’r rhyngrwyd allanol
• ffurflenni
• tystiolaeth a roddir gan drydydd partïon a dirprwyon
• gwybodaeth sy’n cael ei chreu gan drydydd partïon a dirprwyon ar ein rhan
• teclynnau symudol (ffonau clyfar)
• recordiadau sain a fideo
• mapiau a chynlluniau
• delweddau a ffotograffau
• microfiche a microfilm
• gwefannau
• negeseuon testun
• negeseua gwib ac ati

Mae Cod Ymarfer yr Arglwydd Ganghellor ar reoli cofnodion a gyhoeddwyd dan adran 46 Deddf Rhyddid Gwybodaeth 2000 yn berthnasol i bob cofnod waeth beth yw'r cyfrwng na’r math o wybodaeth sydd ynddynt. Rhaid i feysydd swyddogaeth ACC sicrhau bod y systemau hyn a’r cofnodion a gadwant yn cael eu rheoli’n unol â’r Cod. Rhaid rhestru'r systemau hyn yn y Cofrestrau Asedau Gwybodaeth a rhaid iddynt fodloni gofynion rheoli cofnodion corfforaethol a diogelwch (mynediad, cadw / gwaredu, diogelu ac ati). Dylai Perchnogion Asedau Gwybodaeth sicrhau bod cofnodion a gedwir ar y systemau hyn sydd â gwerth busnes tymor hir yn cael eu rheoli yn unol ag Amserlen Cadw a Gwaredu ACC.

• polisi Diogelwch
• polisi Copïau Wrth Gefn
• polisi Cyfryngau Cymdeithasol a Digidol
• rhestr Wirio Caffael   
• datganiad Archwaeth Risg SIRO
• cynllun Data Agored
• canllawiau Torri Rheolau Data
• hysbysiad preifatwydd

7.1 Caledwedd ac Offer TG (Gliniaduron, iPads, iPhones)

Byddwch yn cael offer TG ACC. Bydd yr offer wedi'i gysylltu â rhwydwaith ACC, gyda mynediad i'r rhyngrwyd, e-bost a SharePoint. Os oes angen meddalwedd ychwanegol arnoch at bwrpas penodol, trafodwch hyn gyda'ch rheolwr llinell.

Rydych chi'n gyfrifol am ddiogelwch y caledwedd ac unrhyw wybodaeth sy'n cael ei chreu a'i storio ar y systemau hyn.

7.2 Systemau a meddalwedd rheoli gwybodaeth gorfforaethol cymeradwy

Mae'r systemau canlynol yn cael eu cymeradwyo ar gyfer storio cofnodion a gwybodaeth gorfforaethol. Gellir eu defnyddio i storio gwybodaeth SWYDDOGOL a SWYDDOGOL-SENSITIF. Dylid storio gwybodaeth GYFRINACHOL a CHYFRINACHOL IAWN yn unol â'r Polisi Diogelwch Gwybodaeth.

Yn eithriadol, efallai y bydd cyfiawnhad dros ddal cofnodion ar leoliad gyriant rhwydwaith.

Mae ACC yn defnyddio SharePoint gydag ychwanegiadau meddalwedd trydydd parti Records365 a Repstor. Mae’r cyfuniad hwn o gynhyrchion yn darparu’r llwyfan ERDMS ac yn cydymffurfio â TNA.

Mae’r System Rheoli Trethi yn cadw ffurflenni treth a Microsoft Dynamics 365 yw’r system ERP ar gyfer trethi a chyllid corfforaethol. Mae hefyd yn darparu system Adnoddau Dynol ACC. Mae rhai setiau data hefyd a dderbynnir i ddibenion dadansoddi o ffynonellau allanol sy’n cael eu storio yn seilwaith Cwmwl ACC.

Mae SharePoint wedi’i ardystio i gadw cofnodion gyda marc SWYDDOGOL. Nid yw ACC yn cadw unrhyw ddeunydd â marc diogelwch CYFRINACHOL neu CYFRINACHOL IAWN ar hyn o bryd, a byddai gwybodaeth a ddeuai o fewn y categorïau hyn yn cael ei chadw ar ffeil ffisegol i'w storio’n ddiogel hyd nes iddi gael ei gwaredu.

7.3 Storio yn y cwmwl 

Mae ACC yn sefydliad ‘digidol yn gyntaf’, ac yn defnyddio seilwaith Cwmwl a ddarperir drwy Microsoft Azure. Caiff y seilwaith ei gynnal yn y DU ac mae wedi’i ardystio i lefel SWYDDOGOL.

7.4 Systemau eraill

Rydym hefyd yn cadw gwybodaeth mewn nifer o systemau eraill, gan gynnwys, ond nid yn gyfyngedig i'r canlynol:

• System Rheoli Trethi
• ERP (System Cyllid Treth, System Cyllid Corfforaethol ac AD)
• System rheoli achosion

7.5 Copi Caled 

Mae natur ‘digidol yn gyntaf’ ACC yn golygu bod y rhan fwyaf o’r cofnodion sy’n cael eu derbyn a’u creu ganddo’n cael eu rheoli a’u storio’n ddigidol.

Mae ACC yn disgwyl derbyn rhywfaint o wybodaeth ar ffurf copi caled, fel ffurflenni treth papur, ymatebion i geisiadau am wybodaeth ayb., ond caiff y rhain eu lleihau gymaid â phosibl drwy annog defnyddio pecynnau digidol a, lle bo’n bosibl, darparu adnoddau i gynorthwyo’r rhai sy’n cael trafferth rhyngweithio’n ddigidol ag ACC. Caiff cofnodion ffisegol eu sganio a’u storio ar SharePoint (oni fo’u maint yn golygu fod hyn yn anymarferol).

Bydd ACC yn cynhyrchu a/neu dderbyn gwybodaeth ar ffurf copi caled mewn perthynas ag ymholiadau ac ymchwiliadau; bydd peth ohoni’n cynnwys PTI sensitif a bydd peth yn dystiolaeth sensitif i gefnogi ymchwiliadau.

Bydd ACC yn storio cofnodion copi caled sy’n cynnwys gwybodaeth warchodedig am drethdalwyr dan glo mewn cypyrddau, ac yn defnyddio safonau ffeilio rheoli cofnodion ffurfiol i ganfod lle y mae’r cofnodion wedi’u cadw a gwybodaeth berthnasol arall fel eu cyfnod cadw.

Os bydd ACC ar unrhyw adeg angen storio cofnodion swyddogol dan ddosbarthiad diogelwch CYFRINACHOL neu CYFRINACHOL IAWN, rhaid iddynt gael eu storio’n unol â Pholisi Dosbarthiad Diogelwch Llywodraeth EM.

7.6 Gwefannau, Cyfryngau Cymdeithasol a YouTube

Mae gwefan ACC yn cynnwys cofnodion cyhoeddus sydd o werth archifol. Rydym yn archifo gwefan ACC er mwyn darparu mynediad parhaus at ddogfennau allweddol y llywodraeth drwy barhad dolenni. Mae hyn yn bwysig oherwydd arwyddocâd y rhyngrwyd i alluogi ACC i gyflawni ei fusnes.

Byddwn yn datblygu polisi Cyfryngau Cymdeithasol ar wahân sy'n nodi rheolau ynghylch defnydd derbyniol o gyfryngau cymdeithasol (ee Facebook, blogiau, Twitter) o fewn ACC mewn cyd-destun gwaith a sut y gellir defnyddio cyfryngau cymdeithasol i ymgysylltu â'r cyhoedd a rhanddeiliaid ar ran ACC.

Mae'n bwysig cofio bod cynnwys cyfryngau cymdeithasol hefyd yn gofnod cyhoeddus.

7.7 Negeseuon Testun

Defnyddir negeseuon testun at ddibenion cyfathrebu rhwng unigolion. Dylai staff fod yn ymwybodol, wrth ddefnyddio eu ffonau ACC fel hyn eu bod mewn gwirionedd yn creu “cofnodion cyhoeddus”. Gallai staff sy'n defnyddio ffonau preifat ar gyfer busnes ACC fod yn creu cofnodion cyhoeddus hefyd. Mae natur fyrhoedlog negeseuon testun yn cynyddu'r angen i ddefnyddwyr fod yn ymwybodol y gallent fod yn creu cofnodion gan ddefnyddio'r cymhwysiad hwn, ac i reoli a chadw cynnwys y cofnodion yn briodol.

Mae yna rai heriau o ran rheoli cofnodion yn gysylltiedig â negeseuon testun:

• nid yw'r systemau hyn wedi'u cynllunio gyda'r pwrpas o reoli cofnodion, megis y gallu i nodi, dal a chadw negeseuon.
• mae'r defnydd o systemau negeseuon electronig, mathau o ddyfeisiau cyfathrebu, a darparwyr gwasanaeth lluosog yn ychwanegu cymhlethdod at gadw cofnodion
• galluoedd chwilio cyfyngedig i reoli mynediad ac adalw
• anhawster cysylltu negeseuon â chyfrifon neu ffeiliau achos unigol
• nodi cyfnodau cadw priodol o fewn cyfeintiau mawr o negeseuon electronig
• cadw cofnodion cyflawn, gan gynnwys metadata ac unrhyw atodiadau, mewn modd sy'n sicrhau eu dilysrwydd a'u hargaeledd
• datblygu a gweithredu amserlenni cofnodion, gan gynnwys y gallu i drosglwyddo neu ddileu cofnodion, cymhwyso daliadau cyfreithiol ar un neu sawl cyfrif, neu gyflawni swyddogaethau rheoli cofnodion eraill
• disgwyliad y cyhoedd bod pob neges electronig yn barhaol werthfawr ac yn hygyrch ar unwaith

Mae Microsoft Teams yn rhan o Office 365 a bydd yn disodli Skype a Yammer. Bydd cynnwys sgyrsiau yn cael ei westeio gan ACC, ond ni fyddant yn cael eu cadw. Rhaid peidio â defnyddio Microsoft Teams i wneud penderfyniadau busnes, cyllid neu bolisi.

Mae rhestr o asedau gwybodaeth ar draws mwysydd swyddogaeth ACC wedi ei llunio er mwyn cyflawni a chynnal mesurau amddiffyn priodol a nodi cyfrifoldeb dros grwpiau o asedau. Mae’r Perchnogion Asedau Gwybodaeth (IAO) yn gyfrifol am ddeall pa wybodaeth a gedwir, beth sy’n cael ei ychwanegu a’i waredu, sut y caiff gwybodaeth ei symud, a phwy sy’n cael mynediad a pham.

Mae ased gwybodaeth yn gorff o wybodaeth, wedi'i diffinio a'i rheoli fel uned unigol fel y gellir ei deall, ei rhannu, ei gwarchod a'i defnyddio'n effeithiol. Mae gan asedau gwybodaeth werth, risg, cynnwys a chylch bywyd y gellir ei reoli. (Diffiniad Swyddfa'r Cabinet)

Mewn unrhyw brosiect a alluogir gan TGCh, mae'n hanfodol bod yr holl ofynion cadw cofnodion ynghylch gwybodaeth a grëir neu a gedwir o fewn system sydd newydd ei datblygu a /neu ei gweithredu yn cael eu hystyried.  Yn ogystal ag anghenion busnes, mae hyn er mwyn sicrhau bod gofynion cyfreithiol a gofynion eraill yn cael eu cyflawni. Bydd y rhain yn cynnwys gofynion o dan y GDPR y DU/Deddf Diogelu Data, y Ddeddf Rhyddid Gwybodaeth a'r Cod Ymarfer cysylltiedig ar Reoli Cofnodion, Deddf Cofnodion Cyhoeddus 1958, y Statud Cyfyngu a'r Ddeddf Pwerau Rheoleiddio ac Ymchwilio, a byddant yn cynnwys:

• mynediad a diogelwch – er mwyn sicrhau y gosodir y diogelwch a’r caniatâd priodol
• cadw a gwaredu, parhad digidol ac archifo – i sicrhau y caiff gwybodaeth ei chadw gyhyd ag y mae ei hangen ac yna yn cael ei gwaredu ar yr adeg briodol
• gofynion archwilio - yn enwedig lle mae cyllid yr UE yn gysylltiedig
• derbynioldeb cyfreithiol – i sicrhau bod yr wybodaeth a gedwir yn dderbyniol fel tystiolaeth i ddibenion archwilio a rhag ofn ymchwiliad neu achos cyfreithiol. Bydd hyn yn golygu cydymffurfio â BS10008.

Bydd Swyddfa’r Pennaeth Dylunio yn cael ei hysbysu o feysydd prosiect newydd/newid drwy’r broses ceisio am newid, a bydd yn rhoi gwybod i’r unigolion priodol, e.e. Y Swyddog Diogelwch TG, IAO, y Rheolwr Gwybodaeth, i sicrhau y cwrddir â gofynion gwybodaeth y prosiect.

Mabwysiadodd ACC bolisi Dosbarthu Diogelwch HMG ar gyfer yr holl gofnodion a grëwyd ers ei sefydlu.

DS - 'Cloi' neu ddiogelu dogfennau Word â chyfrinair. Ni ddylid cloi unrhyw ddogfennau ACC, na’u diogelu â chyfrinair. Mae'n cyfyngu ar hygyrchedd a darllenadwyedd parhaus y ddogfen. Rhaid ffeilio gwybodaeth sy'n gofyn am gyfyngiad ar fynediad neu ddiogelu arbennig mewn ffeil / ffolder SharePoint mewn grŵp Preifat.

Rydym wedi sefydlu Confensiwn Enwi safonedig ar gyfer dogfennau a ffeiliau, i'w ddefnyddio wrth greu cofnodion newydd. Fodd bynnag, nid yw hwn yn gyfarwyddol a gellir ei addasu’n unol â gwahanol anghenion, gyda’r cyfrifoldeb ar feysydd Swyddogaeth i gytuno a mabwysiadu confensiwn enwi addas ar sail y canllawiau hyn.

Pan gaiff prosiect ei ddirwyn i ben neu pan fydd darn o waith wedi ei gwblhau a’r ffeiliau’n barod i gael eu cau, rhaid i staff gysylltu â’r Rheolwr Gwybodaeth i gau'r ffeiliau’n swyddogol ar SharePoint.

At ddibenion ceisiadau Mynediad at Wybodaeth yn cynnwys dogfennau prosiect, mae’r cyfrifoldeb am ymateb i geisiadau unigol yn gorwedd gyda pherchennog y ddogfen adeg y gwneir y cais – h.y. y prosiect, swyddfa’r rhaglen neu berchennog y busnes o fewn swyddogaeth sy’n cael ei hetifeddu, fel bo’n briodol. Dylai copïau dyblyg a gwybodaeth atodol nad ydynt o ddefnydd pellach (ym mhob fformat) gael eu dileu / dinistrio.

Yn achos prosiectau annibynnol a’r rhai o fewn prosiectau, rhaid i'r timau a fydd yn darparu cefnogaeth barhaus neu a fydd â chyfrifoldeb polisi parhaus, dderbyn trosglwyddo’r wybodaeth berthnasol yn ffurfiol a sicrhau y caiff y weithdrefn ei dogfennu. Mae felly’n hanfodol bod y dogfennau hyn yn cael eu cynnwys fel cynnyrch prosiect yn ystod y camau priodol. Rhaid i nodiadau trosglwyddo a baratowyd gynnwys rhestr o bob ffeil, ei theitl neu bwnc, dyddiadau cwmpasu, lleoliad a dosbarthiad diogelwch a fformat cyfrwng unrhyw gopïau dyblyg.

Nid yw’n briodol storio e-byst sy’n gofnodion swyddogol mewn ffolderi Outlook. Os yw e-byst yn ffurfio rhan o drafodiad neu’n dystiolaeth o fusnes, rhaid iddynt gael eu cadw fel cofnodion a’u cadw yn SharePoint cyn gynted â phosibl. Bydd e-byst yn cael eu dileu’n awtomatig o flwch derbyn a blwch allan Outlook 12 mis ar ôl iddynt gael eu derbyn neu eu creu.

Cyfrifoldeb yr anfonwr yw sicrhau bod e-byst sy’n cynnwys gwybodaeth y mae’n rhaid ei chadw fel cofnod yn cael eu cadw yn y ffeil briodol ar SharePoint (neu system gydnabyddedig gyfatebol).

Cyfrifoldeb prif dderbynnydd pob e-bost gan drydydd parti yw sicrhau eu bod yn cael eu cadw yn SharePoint (neu system gydnabyddedig gyfatebol). Mae hyn er mwyn diogelu’r cyd-destun a chynnal trywydd archwilio cynhwysfawr.

Sicrhewch fod gwybodaeth sensitif yn cael ei chynnwys mewn e-byst wedi'u hamgryptio neu'r rhai sy'n cael eu hanfon i gyfeiriad e-bost diogel yn unig.

Mae Swyddfa’r Cabinet wedi cyhoeddi canllawiau i lywodraeth ar ymdrin â Defnyddio E-bost Preifat sy’n cynnwys arweiniad yn ymwneud â Deddf Rhyddid Gwybodaeth.

Rhaid i staff ACC gytuno ar brotocolau rhannu data gyda sefydliadau allanol cyn cyfnewid data. Os yw rhannu data yn cynnwys data personol, rhaid darparu dolen i'r polisi perthnasol fel bod staff yn ymwybodol o'r broses a'r angen i gael cymeradwyaeth cyn ei rhannu. Rhaid i’r protocolau hyn roi manylion:

• pwy yw’r sefydliadau rhannu
• statws cyfreithiol y bartneriaeth
• yr wybodaeth sydd i’w rhannu
• y broses ar gyfer rheoli’r wybodaeth a beth fydd yn digwydd iddi unwaith y bydd yr amcanion wedi’u cwrdd
• egwyddorion ar gyfer storio a chael mynediad at wybodaeth Awdurdod Cyllid Cymru

Mae’n un o egwyddorion diogelu data na ddylai maint a lefel y data personol a rennir fod yn ddim mwy na’r hyn sydd ei angen ar gyfer prosesu. Mae hyn yn berthnasol yn yr un modd i ddata amhersonol. Rhaid i'r amserlen cadw a gwaredu ddatgan a fydd yn cael ei ddychwelyd i’r cychwynnwr, ei archifo, ei ddadbersonoli neu ei ddinistrio.

Mae’n ddyletswydd gyfreithiol ar ACC dan Ddeddf Llywodraeth Cymru 2006 i rannu data’r Dreth Trafodiadau Tir gyda CThEM. Mae Memorandwm Cyd-ddealltwriaeth (MOU) wedi cael ei ddatblygu gyda CThEM, ac mae atodiad iddo’n ymdrin â’r data sy’n cael ei rannu â hwy gan ddefnyddio dolen ddiogel achrededig.

Mae ACC yn prosesu cyfran uchel o ddata personol a chategori arbennig ac mae wedi penderfynu nad yw ei ddata’n dderbyniol i'w storio y tu allan i'r DU. Os bydd angen i chi anfon data y tu allan i'r DU mewn amgylchiadau eithriadol, rhaid i chi gael cytundeb a chaniatâd y Swyddog Diogelwch TG a'r IAO Arweiniol.

Rhaid i staff ACC sicrhau bod gwybodaeth a rennir â chyrff eraill, neu a gedwir ar ein rhan gan gyrff eraill, yn cael ei rheoli yn unol â'r polisi hwn, a lle bo hynny'n berthnasol, y ddeddfwriaeth diogelu data.

Rhaid i gontractau gyda thrydydd partïon gynnwys cyfeiriad at weithdrefnau a chyfrifoldebau rheoli gwybodaeth. Dylai’r contract nodi sut y bydd cofnodion a fydd yn cael eu creu wrth weithio’n gydweithredol neu drwy gontractau allanol yn cael eu rheoli, eu rhannu a’u diogelu. Rhaid cytuno ar gyfrifoldebau, a rhaid i’r protocol gael ei lofnodi gan bob partner. Rhaid i’r protocol amlinellu pwy sy’n gyfrifol am y canlynol:

• ceisiadau Mynediad at Wybodaeth (a phwy sy’n gyfrifol am gadw’r cofnodion hynny)
• diogelwch Gwybodaeth, Rheoli Cofnodion ac ansawdd Data
• cadw a Gwaredu (gofyniad am i gofnodion gael eu dychwelyd at ACC i'w cadw a/neu eu gwaredu yn y tymor canolig i hir)

Wrth sefydlu contractau gyda chyflenwyr trydydd parti, rhaid cael sicrwydd ynghylch y modd y maent yn ymdrin â gwybodaeth fel rhan o’r fframwaith deddfwriaethol sy’n berthnasol i ACC. Gofyniad sylfaenol yw bod y cwmni wedi cael Cyber Essentials lle mae gwybodaeth bersonol neu SWYDDOGOL-SENSITIF yn cael ei phrosesu.  Bydd gofynion penodol yn cael eu cynnwys yn y Llythyr Agweddau ar Ddiogelwch sy'n cyd-fynd â’r wybodaeth.

Rydym yn cyfrannu at Gynllun Data Agored Llywodraeth Cymru ac yn gweithio mewn ffordd debyg o ran cyhoeddi data, gan ddefnyddio'r Drwydded LlA (OG). Rydym yn defnyddio Fframwaith Trwyddedu Llywodraeth y DU (UKGLF) a’r Drwydded Llywodraeth Agored (OGL).

Mae’r Drwydded Llywodraeth Agored (OGL) yn set syml o delerau ac amodau sy'n hwyluso ailddefnyddio ystod eang o wybodaeth sector cyhoeddus yn rhad ac am ddim.  

Nid yw'r Drwydded Llywodraeth Agored yn cwmpasu'r defnydd o ddata personol. Rhaid i ailddefnyddio data personol gydymffurfio â'r ddeddfwriaeth Diogelu Data.

Os bydd y Peirianwaith Llywodraethu’n newid a/neu os bydd Trosglwyddo Swyddogaethau, rhaid hysbysu’r Swyddog Cofnodion Adrannol cyn gynted â phosibl gan arweinydd y prosiect i sicrhau bod trosglwyddiad cofnodion busnes hanfodol yn digwydd heb golli gwybodaeth nac amharu ar barhad y busnes. Rhaid i’r Swyddog Cofnodion Adrannol chwarae rhan gydol y broses i sicrhau y caiff y gweithdrefnau cywir eu dilyn yng nghyswllt gwybodaeth a chofnodion, gan ufuddhau â deddfwriaeth.

Rhaid i bob penderfyniad ar statws cyfreithiol , symud, gwaredu a dinistrio cofnodion a gwybodaeth gael eu dogfennu. Rhaid trosglwyddo gwybodaeth yn ffurfiol gan ei fod yn drosglwyddiad gwybodaeth rhwng dau endid cyfreithiol ar wahân.  Nid yw hyn mor syml â chopïo data’n unig.

Pan gaiff cofnodion eu trosglwyddo, rhaid i beth bynnag a ddefnyddiwyd i adnabod a chyrchu’r cofnodion - fel copïau o gronfeydd data perthnasol a ddefnyddir i ddisgrifio a thracio cofnodion digidol, fynd gyda hwy.

Rhaid gwneud trefniadau drwy Bennaeth Digidol a Thechnoleg ACC a’r IAO perthnasol i sicrhau trosglwyddo systemau cyfrifiadurol a/neu gyfryngau storio a ddefnyddir i greu a rheoli cofnodion digidol cyfredol ac anweithredol y busnes a drosglwyddwyd. 

Rhaid i restri cyflawn o’r ffeiliau sydd i’w trosglwyddo (waeth beth yw’r fformat), ynghyd â manylion unrhyw geisiadau Rhyddid Gwybodaeth heb eu cyflawni neu faterion sensitif, gael eu dogfennu yn y Cytundeb Trosglwyddo swyddogol (i’w lunio gan y Swyddog Cofnodion Adrannol mewn cydweithrediad â’r adran sy’n trosglwyddo). Yna rhaid i’r Cytundeb hwn gael ei lofnodi gan y sefydliad sy’n trosglwyddo a’r sefydliad sy’n derbyn. Rhaid i drosglwyddo gwybodaeth a chofnodion fod wedi’i gynnwys yn unrhyw gamau cyfreithiol sy’n angenrheidiol i weithredu’r broses newid mewn Peirianwaith Llywodraethu.

Y Tribiwnlys ac nid ACC sy'n gyfrifol am gofnodion tribiwnlys. Rhaid i Gadeirydd ac Ysgrifennydd y Tribiwnlys sicrhau bod cofnod y Tribiwnlys yn gynhwysfawr ac yn drefnus a bod y polisïau a'r gweithdrefnau perthnasol ar waith.

Efallai y bydd angen gwybodaeth (neu ddogfennau) fel tystiolaeth at ddibenion cyfreithiol mewn sawl cyd-destun. Efallai y bydd gofyn iddynt gael cyngor cyfreithiol ar ran ACC, at ddibenion “darganfod” i bartïon eraill sy'n ymwneud ag ymgyfreitha y mae ACC yn barti ynddo, neu i'w gynhyrchu yn y llys gan asiantaeth p'un a yw ACC yn barti i'r achos ai peidio.

Mewn achosion yn y Tribiwnlysoedd Treth yn gyffredinol dim ond y dogfennau y bwriada ACC ddibynnu arnynt yn ei achos ei hun y bydd yn ofynnol iddo eu datgelu. Fodd bynnag, efallai y bydd gofyn i ACC ddatgelu mwy o ddogfennau sydd yn ei feddiant neu o dan ei reolaeth os bydd y Tribiwnlys yn gorchymyn iddo wneud hynny.

Pan fydd ACC yn cymryd rhan mewn Adolygiad Barnwrol neu achos Llys arall mae'n debygol y bydd safon datgelu uwch yn berthnasol.

Dylai unrhyw achos cyfreithiol a gychwynnir yn erbyn ACC gael ei gyfeirio at y Swyddfa Gyfreithiol a Pholisi ac os oes angen, byddant yn cyhoeddi cyfarwyddyd yn gorchymyn y gweithwyr i gadw, ac ymatal rhag dinistrio neu addasu, cofnodion a gwybodaeth (papur a digidol, gan gynnwys e-bost, negeseuon ffôn symudol a chyfryngau cymdeithasol) a allai fod yn berthnasol i destun achos cyfreithiol neu ymchwiliad sydd ar ddod neu a ragwelir. Mae daliad ymgyfreitha yn helpu i sicrhau bod ACC yn cydymffurfio â'i ddyletswydd i ddiogelu gwybodaeth, gan gynnwys gwybodaeth a storir yn electronig (ESI), mewn achos cyfreithiol neu mewn cysylltiad ag ymchwiliad.

Dylid cynnal Asesiad Effaith Diogelu Data (DPIA) cyn rhyddhau gwybodaeth er mwyn sicrhau bod gwybodaeth bersonol sensitif nad yw'n berthnasol i'r achos cyfreithiol yn cael ei golygu yn unol â GDPR y DU/DPA.

21.1 Darganfyddiad cyfreithiol

Os yw'n ofynnol i ACC wneud ymarferiad darganfod byddwn yn gwneud hyn yn bennaf trwy chwilio'r wybodaeth a gedwir ar ein systemau cwmwl, gan gynnwys SharePoint, Dynamics365 a TMS.

21.2 Gonestrwydd

Fel awdurdod cyhoeddus, mae gan ACC “ddyletswydd gonestrwydd”. Mae hyn yn gofyn ein bod yn rhoi cyfrif "gwir a chynhwysfawr" o brosesau gwneud penderfyniadau ACC mewn achosion Adolygiad Barnwrol. Mae'n ei gwneud yn ofynnol i ni nodi, yn llawn ac yn deg, yr holl faterion sydd eu hangen ar gyfer penderfynu mater penodol yn deg. Mae'r ddyletswydd yn ymestyn i wybodaeth neu ddogfennau a fydd yn cynorthwyo achos hawlydd, a'r rhai sy'n arwain at resymau ychwanegol am herio.

Gellir cyflawni dyletswydd gonestrwydd trwy roi cyfrif llawn a theg mewn datganiad tyst, ac arddangos dogfennau allweddol. Fodd bynnag, lle mae adolygiad barnwrol yn cynnwys materion ffeithiol, neu'n ei gwneud yn ofynnol i'r llys ystyried cymesuredd, efallai y bydd angen datgelu mwy o ddogfennau. 

O dan y ddyletswydd i ddatgelu mewn achosion adolygiad barnwrol, mae “dogfen” yn cynnwys dogfennau wedi’u dileu, felly hyd yn oed os nad oes modd adfer dogfennau sydd wedi’u dileu, rhaid datgelu’r ffaith eu bod wedi bodoli. Mae'r ddyletswydd datgelu yn gofyn am chwiliad rhesymol, ac mae'n ei gwneud yn ofynnol i barti nodi a ydynt wedi penderfynu peidio â chwilio am gategori neu ddosbarth o ddogfennau ar y sail ei fod yn afresymol.

Ni fydd gwybodaeth a chofnodion yn cael eu cadw ond gyhyd ag y bydd eu hangen ar gyfer cefnogi gofynion busnes a rhwymedigaethau cyfreithiol ACC. Ar ddiwedd y cyfnod hwnnw, bydd y cofnodion naill ai’n cael eu dinistrio neu, os ydynt o werth hanesyddol, yn cael eu trosglwyddo i Leoliad Adneuo i'w cadw’n barhaol.

Mae Amserlen Cadw a Gwaredu ACC yn allweddol ar gyfer rheoli gwybodaeth yn effeithiol: mae’n nodi’r cyfnodau a argymhellir pryd y mae’n rhaid cadw dosbarthiadau penodol o gofnodion yn unol â gofynion cyfreithiol, archwilio a gweithredol. Mae’n darparu system atebol, wedi’i ffurfioli ar gyfer cadw a gwaredu gwybodaeth a gall helpu i arbed amser, arian a gofod drwy sicrhau nad yw gwybodaeth yn cael ei chadw’n ddiangen.

Mae'r GDPR y DU a Deddf Diogelu Data 2018 yn sefydlu gofynion ychwanegol ynghylch cadw data personol. Ar ôl i'r cyfnod cadw cymwys ddod i ben, nid oes rhaid dileu data personol o reidrwydd yn llwyr. Mae'n ddigonol sicrhau bod y data’n anhysbys. Gellir cyflawni hyn, er enghraifft, trwy:

• ddileu gwybodaeth yn rheolaidd nad oes ei hangen mwyach – e.e. gwybodaeth staff, CVs, ffurflenni cais
• dileu dynodwyr unigryw sy'n caniatáu dyrannu set ddata i berson unigryw
• dileu darnau sengl o wybodaeth sy'n caniatâu adnabod gwrthrych y data (p'un ai ar ei ben ei hun neu mewn cyfuniad â darnau eraill o wybodaeth)
• gwahanu data personol oddi wrth wybodaeth nad yw'n enwi (e.e. rhif archeb oddi wrth enw a chyfeiriad y cwsmer)
• agregu data personol mewn ffordd nad yw'n bosibl ei ddyrannu i unrhyw unigolyn
• storio data personol mewn ardal briodol gyda'r rheolaethau mynediad cywir at awdurdodiad, a chyfnodau cadw
• sy’n rhestru data personol sensitif ar y Gofrestr Asedau Gwybodaeth (IAR)

Yn unol â Deddf Cofnodion Cyhoeddus 1958, Deddf Rhyddid Gwybodaeth 2000 (Adran 46), a’r newidiadau a gyflwynwyd gan y Ddeddf Diwygio Cyfansoddiadol a Llywodraethu (CRAGA) 2010, mae’n ofynnol i ACC waredu neu drosglwyddo pob cofnod cyhoeddus i Leoliad Adneuo erbyn iddynt gyrraedd ugain oed fel y gallant eu rhoi ar gael i’r cyhoedd.

Ar hyn o bryd nid oes gan Gymru ei harchif genedlaethol ei hun tebyg i’r Archifau Gwladol, Archifau Gwladol yr Alban neu Swyddfa Cofnodion Cyhoeddus Gogledd Iwerddon. Mae goblygiadau cost sefydlu archif o’r fath ar gyfer Cymru yn afresymol ac felly pery’r Archifau Gwladol yn storfa gydnabyddedig ar gyfer Cymru yn ogystal â llywodraeth y DU. Mae ACC wedi’i gynnwys yn hyn drwy ei gytundeb gyda Swyddog Cofnodion Adrannol (DRO) Llywodraeth Cymru.

Caiff adolygiad ei gynnal o’r cofnodion ar derfyn eu cyfnod adolygu cadw a bydd ymgynghori â phenaethiaid y swyddogaethau perthnasol i benderfynu pa gofnodion sydd ddim yn ddefnyddiol bellach ac y gellir eu dinistrio; pa gofnodion y mae’r adran angen eu cadw i ddibenion busnes parhaus; a pha gofnodion sydd â gwerth hanesyddol ac y dylid eu trosglwyddo i’r Archifau Gwladol. Bydd cofnodion sydd wedi'u marcio i'w dileu ar ddiwedd eu cyfnod cadw yn cael eu dileu'n awtomatig.

Dewisir cofnodion â gwerth hanesyddol yn unol â Pholisi Casglu Cofnodion yr Archifau Cenedlaethol a'n Polisi Gwerthuso ni ein hunain (pan fydd wedi’i ddrafftio). Byddwn yn cysylltu â thîm arbennig yn yr Archifau Cenedlaethol i adolygu a dilysu ein penderfyniadau gwerthuso. Ar ôl dod i gytundeb, rydym yn paratoi'r cofnodion ar gyfer eu trosglwyddo (catalogio, “glanhau”, adolygu sensitifrwydd) cyn iddynt gael eu derbyn gan yr Archifau Cenedlaethol. Byddwn yn datblygu Polisi Adolygu Sensitifrwydd sy'n amlinellu sut y dylid cynnal adolygiad o'r fath.

Ar gyfer cofnodion sydd angen i adrannau eu cadw y tu hwnt i'r cyfnod hwn (e.e. lle mae ganddynt angen busnes tymor hir, neu lle mae'r wybodaeth yn destun ymchwiliad parhaus) rhaid i ni wneud cais am ganiatâd y Cyngor Cynghori (am “Offeryn Cadw”) er mwyn osgoi torri'r Ddeddf Cofnodion Cyhoeddus.

Mae mynediad at wybodaeth ddigidol ar gyfer gofynion busnes tymor byr a thymor hir yn hanfodol. Mae holl wybodaeth ddigidol ACC yn cael ei chadw yng nghanolfannau data Microsoft Azure. Mae gwybodaeth gorfforaethol fel e-byst a dogfennau yn ddarostyngedig i bolisi cadw ACC, yn Azure cedwir copïau ar yr un pryd mewn sawl canolfan ddata i sicrhau parhad busnes. Mae gwybodaeth a gedwir ar y system rheoli treth yn cael ei geo-ddyblygu yn yr un modd, cedwir logiau archwilio ar gyfer pob newid i'r cronfeydd data. Mae natur system cwmwl ACC yn golygu bod y systemau corfforaethol, ariannol a threth yn defnyddio fersiynau meddalwedd sydd bob amser yn cael eu cefnogi a'u diweddaru.

Rhaid i ddogfen beidio ag ymgorffori eiddo deallusol pobl eraill oni fo gan ACC yr hawliau perthnasol h.y. Hawlfraint y Goron. Ni fydd staff yn rhoi dogfennau (gan gynnwys sganio) mewn system wybodaeth (e.e. SharePoint, gyriant ar y cyd, ayb.) oni fo ACC yn berchen arnynt neu wedi cael yr hawlfraint i wneud hynny. Caiff deunydd a gyfeiriwyd yn benodol at ACC ei roi mewn system rheoli gwybodaeth.

Mae rhai gwefannau cyfryngau cymdeithasol, fel Facebook a Twitter, yn nodi yn eu Telerau Defnyddio ar hyn o bryd, bod cynnwys yn parhau i fod yn eiddo deallusol yr unigolyn neu'r endid sy'n postio'r cynnwys. Fodd bynnag, nid yw hyn yn wir am bob safle cyfyngau cymdeithasol, fel YouTube, sy’n mynnu hawlfraint dros gynnwys sy’n cael ei bostio ar eu llwyfan.

Gall gwybodaeth sy’n cael ei chadw mewn System Rheoli Cofnodion a Dogfennau Electronig (EDRMS) fel SharePoint, gyriant ar y cyd neu system bwrpasol arall (fel y System Rheoli Treth) gael ei chyrchu gan ddefnyddwyr niferus ar yr un pryd.  Mae hyn yn golygu ‘atgynhyrchu’ neu mewn rhai achosion ‘darlledu’ dan ddeddfwriaeth hawlfraint, gan arwain at y posibilrwydd i unigolyn hawlio iawndal am dorri hawlfraint yng nghyswllt cynnwys a gyhoeddwyd ar safle cyfryngau cymdeithasol yn cael ei storio mewn EDRMS neu system arall gan un o sefydliadau’r llywodraeth.

26.1 Drwy gyflwyno Cais rhyddid gwybodaeth 

Rhaid i geisiadau am gofnodion/gwybodaeth ACC sy’n iau nac ugain mlynedd oed gael eu trin yn unol â Deddf Rhyddid Gwybodaeth 2000. Ar hyn o bryd, mae ACC yn ddigon newydd fel nad oes ganddo unrhyw gofnodion a ddaw o fewn catalog TNA.

Gellir cael cyngor ar wneud cais am wybodaeth dan sut i wneud cais rhyddid gwybodaeth ar wefan allanol ACC.

26.2 Drwy gyflwyno cais mynediad at wrthrych data 

Dilynwch y canllawiau ar gyfer cyflwyno cais rhyddid gwybodaeth uchod.

27.1 Catalog cyhoeddiadau 

Er mwyn cydymffurfio â Chynllun Cyhoeddi ACC, mae'n rhaid i ni sicrhau bod ein hadroddiadau ymchwil a'n cyhoeddiadau ar gael i'r cyhoedd.

Gallai ACC gynnal a chomisiynu ymchwil sy’n berthnasol i’w swyddogaethau a chynhyrchu adroddiadau rheolaidd a allai gael eu cyhoeddi ar ein gwefan gorfforaethol. I sicrhau bod y rhain ar gael ac yn hygyrch dros amser, dylent gael eu catalogio fel y gall aelodau'r cyhoedd eu cyrchu neu wneud cais amdanynt drwy’r Catalog Cyhoeddiadau allanol ar-lein.

27.2 Adneuo Cyfreithiol

Er mwyn cydymffurfio â deddfwriaeth adneuo cyfreithiol y DU, rhaid rhoi copi o bob cyhoeddiad print a digidol ACC  i'r Llyfrgell Brydeinig a Llyfrgell Genedlaethol Cymru.

Ymhlith y deunyddiau a gwmpesir gan adneuo cyfreithiol mae llyfrau printiedig, cyfnodolion, cylchgronau a phapurau newydd, microffilm, cyhoeddiadau ar gyfryngau llaw fel CD-ROMau, gwefannau a deunydd sydd ar gael i'w lawrlwytho.

Mae gennym gwrs hyfforddi gorfodol ar ein mewnrwyd ar gyfer holl staff ACC. Mae'r modiwl e-ddysgu hwn yn rhoi cyflwyniad i staff i gysyniadau allweddol rheoli gwybodaeth yn dda. Bydd yn galluogi staff i nodi:

• pwy sy'n gyfrifol am reoli gwybodaeth
• beth yw cofnod
• cyfrifoldebau cadw cofnodion
• ble i fynd am help

Rhaid i'r staff i gyd ddilyn y cwrs e-ddysgu gorfodol, “Yn Gyfrifol am Wybodaeth” bob 2 flynedd.

Byddwn yn gweithio gyda'r Archifau Cenedlaethol sy'n monitro cydymffurfiad yn rheolaidd trwy Asesiadau Rheoli Gwybodaeth. 

Mae pobl sy’n gadael cyflogaeth ACC yn gyfrifol am sicrhau eu bod yn ymdrin ag unrhyw wybodaeth a chofnodion y buont yn gweithio arnynt cyn ymadael er mwyn sicrhau:  

• y gall y gwaith gael ei wneud gan olynydd, heb oedi
• y gall ACC fod yn atebol am eu gwaith wedi iddynt adael
• bod ACC yn cydymffurfio â'r GDPR y DU, Deddf Diogelu Data 2018 a Chyfarwyddeb Gorfodi'r Gyfraith (LED)
• y gall ACC ymateb i Geisiadau Rhyddid Gwybodaeth a Cheisiadau Gwrthrych am Wybodaeth yn gywir ac o fewn yr amseroedd ymateb cyfreithlon
• nad yw ACC yn wynebu gwariant diangen ar storio cofnodion ac amser staff yn rhoi trefn ar gofnodion pobl eraill

Ni ddylai'r ymadawr gadw unrhyw wybodaeth sy’n perthyn i ACC.

Pan fydd swyddog perthnasol (yn ôl diffiniad y Ddeddf Casglu a Rheoli Trethi (DCRhT) yn gadael ACC, maent yn parhau wedi’u rhwymo gan y cytundeb cyfrinachedd a lofnodwyd ganddynt.