Cynghorau'n torri Deddf Diogelu Data

  • Cyhoeddwyd
data
Disgrifiad o’r llun,

Mae angen i awdurdodau lleol gadw data personol yn ddiogel

Cafwyd dros 60 achos o dorri'r Ddeddf Diogelu Data gan weithwyr awdurdodau lleol Cymru yn 2012.

Yn eu plith, gadawodd gweithiwr i bartner gael mynediad at ddata personol a'i ddiweddaru, ac roedd sawl achos o osod data personal ar wefannau trwy gamgymeriad.

Dywedodd Swyddfa'r Comisiynydd Gwybodaeth ei fod yn "hanfodol bod awdurdodau lleol yn cwrdd â'u cyfrifoldeb cyfreithiol i gadw data personol yn ddiogel".

Daeth yr wybodaeth wedi cais BBC Newyddion Ar-lein o dan y Ddeddf Rhyddid Gwybodaeth.

Cafodd Swyddfa'r Comisiynydd Gwybodaeth ei hysbysu am "sawl digwyddiad" yng Nghyngor Sir Ynys Môn yn 2012, pan gafodd dogfennau yn cynnwys data personol "naill ai eu datgelu neu eu gwaredu yn anaddas, neu roedd risg o fynediad atynt heb awdurdod".

Yn dilyn ymchwiliad, dyfarnodd Swyddfa'r Comisiynydd Gwybodaeth nad oedd canllawiau'r cyngor ar warchod data yn ddigonol ac fe wnaeth prif weithredwr y cyngor ymrwymo i wneud gwelliannau.

Dywedodd llefarydd ar ran y cyngor: "Rydym yn cymryd diogelwch data o ddifrif. Er mwyn sicrhau gwelliannau, rydym yn ddiweddar wedi sefydlu bwrdd prosiect i wella'r diwylliant o warchod data trwy gydol y sefydliad".

Yng Nghyngor Powys tybiwyd fod 17 digwyddiad wedi torri'r Deddf Diogelu Data yn 2012. Cafwyd pum achos o gamgyfeirio gwybodaeth o fewn y cyngor a 12 achos o anfon gwybodaeth i'r cyfeiriad anghywir, cofnodi manylion personol anghywir ar ohebiaeth, diffyg yn y systemau a gosod data personol ar wefan y Cyngor. Cymerwyd camau disgyblu yn erbyn un aelod o staff.

'Sensitif'

Cafwyd saith achos yng Nghyngor Caerdydd. Yn eu plith anfonodd aelod o staff e-bost yn cynnwys data personol sensitif at y person anghywir yn fewnol; a chollwyd ffeil gynllunio â data personol ynddi.

Yn ogystal, hysbyswyd Swyddfa'r Comisiynydd Gwybodaeth am e-bost gyda "manylion sensitif" am 24 o bobl a oedd wedi marw a anfonwyd drwy gamgymeriad i wasanaethau amlasiantaeth, er nad yw'r Ddeddf Diogelu Data yn gymwys i'r meirw.

Cofnodwyd pum achos yng Nghyngor Casnewydd lle gallai gwybodaeth bersonol fod wedi mynd tu hwnt i reolaeth yr awdurdod. Mewn dau achos rhoddwyd rhybudd ysgrifenedig terfynol i staff.

Camau disgyblu

Cafwyd pedwar achos yng nghyngor Sir y Fflint - cymerwyd camau disgyblu yn erbyn gweithiwr a adawodd i bartner gael mynediad at ddata'r cyngor a'i ddiweddaru, gan gynnwys mynediad at ddata personol.

Yn ogystal, cyhoeddwyd dau adroddiad pwyllgor a oedd yn cynnwys data personol ar wefan y cyngor trwy amryfusedd, anfonwyd llythyr ynglŷn â'r gwasanaethau plant i'r rhif tŷ anghywir, a chollwyd cryno ddisg oedd yn cynnwys gwybodaeth bersonol.

Yng Nghyngor Wrecsam, cofnodwyd saith achos. Bu dau dramgwydd yn yr Adran Atal a Gofal Cymdeithasol pan rannwyd gwybodaeth bersonol ar gam i drydydd parti; cafwyd tramgwydd arall pan gafodd cyfeiriadau e-bost tanysgrifwyr porthol yr Adran Dai eu rhannu ag eraill mewn camgymeriad; a methodd y cyngor ymateb i geisiadau am wybodaeth am bynciau o fewn 40 diwrnod calendr fel sy'n ofynnol ar bedwar achlysur.

Torrwyd y ddeddf bum gwaith gan Gyngor Gwynedd. Nid oedd y wybodaeth dan sylw yn yr achosion hyn yn sensitif, yn ôl y cyngor, ac felly nid oedd y digwyddiadau yn destun camau disgyblu.

Yng Nghyngor Conwy cofnodwyd "rhai achosion" o ddata coll a oedd yn ymwneud ag e-byst a ffacs yn cael eu hanfon at dderbynnydd drwy ddamwain, postio llythyr i dderbynnydd drwy ddamwain, gwybodaeth wedi'i dwyn o gerbyd/eiddo.

Yng nghyngor bwrdeistref sirol Caerffili, cofnodwyd tri achos lle datgelwyd gwybodaeth bersonol ar gam. Darparwyd hyfforddiant pellach ac mae staff hefyd wedi cael eu hatgoffa o'r gweithdrefnau i'w ddilyn wrth ddelio â gwybodaeth bersonol.

Yng Nghyngor Sir Gaerfyrddin, cofnodwyd dau achos yn 2012 lle y penderfynodd y Comisiynydd Gwybodaeth ei fod yn annhebygol fod y Cyngor wedi cydymffurfio â gofynion y Ddeddf Diogelu Data.

Defnyddiwyd y cyngor gwmni preifat i ddanfon cylchlythyrau at bob aelod o Gronfa Bensiwn Dyfed. Printiodd y cwmni rhif yswiriant cenedlaethol yr aelodau ar bob amlen rhwng enw'r aelod a'i chyfeiriad, a derbyniodd y cwmni gyfrifoldeb llawn am y camgymeriad. Yn ogystal, methodd y cyngor i ateb cais am wybodaeth o fewn y 40 diwrnod sy'n ofynnol.

Cafodd y ddeddf ei thorri unwaith yng nghyngor Sir Penfro yn 2012. Gosodwyd, trwy gamgymeriad, wybodaeth am orfodi cynllunio ar y wefan. Fe newidiwyd y broses ac fe ailhyfforddwyd y staff.

Roedd un achos yng Nghyngor Sir Ddinbych, yn ymwneud â gwybodaeth bersonol a anfonwyd allan mewn camgymeriad at y cwsmer anghywir.

Yng nghyngor bwrdeistref sirol Pen-y-bont ar Ogwr, torrwyd y ddeddf unwaith pan gafodd ffôn symudol, oedd yn cynnwys data personol yn ymwneud â defnyddwyr gwasanaethau, ei golli am ychydig oriau gan swyddog.

Cafwyd un achos lle torrodd Cyngor Sir Ceredigion y Ddeddf Diogelu Data, a hynny pan anfonwyd llythyr at aelod o staff i'r cyfeiriad anghywir. Unwaith y daeth y Cyngor yn ymwybodol o'r achos hwn, fe ddatblygwyd cynllun gweithredu i geisio atal hyn rhag digwydd yn y dyfodol.

Cyfrifoldebau

Cafwyd un achos yng Nghyngor Castell-nedd Port Talbot pan gafodd ffurflenni cyfeirio ynghylch tri darpar ddefnyddiwr gwasanaeth eu dwyn oddi ar ddarparwr gwasanaeth y mae'r awdurdod yn comisiynu gwasanaethau ganddo.

Ni chofnodwyd unrhyw achosion yn 2012 yng nghynghorau Abertawe, Blaenau Gwent, Merthyr Tudful, Sir Fynwy, Rhondda Cynon Taf, Torfaen a Bro Morgannwg.

Dywedodd llefarydd ar ran Swyddfa'r Comisiynydd Gwybodaeth: "Mae'n hanfodol bod awdurdodau lleol yn cwrdd â'u cyfrifoldeb cyfreithiol i gadw data personol yn ddiogel.

"Mae'n rhaid i gynghorau nid yn unig gael y polisïau a'r gweithdrefnau cywir yn eu lle; mae angen sicrhau diwylliant ymysg staff lle mae pawb yn cymryd eu cyfrifoldebau o ddifrif a bod trin data yn effeithiol yn dod yn ail natur".