Swyddfa'r Comisiynydd Gwybodaeth - Nodyn cynghori i awdurdodau cyhoeddus.

Mae ¹ toriadau data proffil uchel a difrifol ² diweddar yn y Deyrnas Unedig wedi dangos effaith datgelu gwybodaeth bersonol o fewn taenlenni ffynhonnell wreiddiol yn anfwriadol mewn ymateb i geisiadau o dan y Ddeddf Rhyddid Gwybodaeth. Nid yw'r mater yma yn newydd. Gall gwallau dynol greu canlyniadau enfawr. Dylai awdurdodau cyhoeddus fod â mesurau cadarn ar waith i sicrhau bod gwybodaeth bersonol yn cael ei chadw'n ddiogel, a bod y risg o wallau dynol yn cael ei lleihau, gan gynnwys mewn ymateb i geisiadau rhyddid gwybodaeth.

Mae'r ICO yn cydnabod y gall defnyddio llwyfannau ar-lein i gyflwyno a derbyn ymatebion i geisiadau rhyddid gwybodaeth fod yn effeithlon a helpu i hybu tryloywder a’u bod nhw’n dod o fewn rhychwant y ddeddfwriaeth. Rydyn ni hefyd yn cydnabod bod taenlenni'n cael eu defnyddio'n helaeth mewn awdurdodau cyhoeddus, gan ein cynnwys ni’n hunain.

Er hynny, maen nhw hefyd yn gallu creu heriau ymarferol a risgiau datgelu gwybodaeth bersonol yn anfwriadol a’r rheiny heb fod yn amlwg o bosibl o edrych ar y daenlen.

Mae'r ICO yn cynghori, fel mater o frys, y dylai pob AC:

• Rhowch foratoriwm ar waith ar ddatgelu taenlenni ffynhonnell wreiddiol i lwyfannau ar-lein mewn ymateb i geisiadau rhyddid gwybodaeth.
• Trowch daenlenni a metadata sensitif yn fformatau ailddefnyddiadwy agored fel ffeiliau Gwerthoedd wedi’u Gwahanu ag Atalnod (csv).
• Osgowch ddefnyddio taenlenni sydd â channoedd neu filoedd o resi. Buddsoddwch mewn systemau rheoli data sy'n ategu uniondeb data.
• Hyfforddi staff sy'n defnyddio meddalwedd data cyffredin ac sy'n ymwneud â datgelu gwybodaeth yn barhaus.
• Ymgyfarwyddo â chanllawiau gan yr ICO, ac ymgorffori’r rhain mewn polisïau a gweithdrefnau, i liniaru risgiau tablau colynnu a all grynhoi set fawr o ddata ond a all greu crynodeb awtomatig o'r data sylfaenol. Gweler 'Sut i ddatgelu gwybodaeth yn ddiogel'.
• Parhau i gydymffurfio â'u cyfrifoldebau statudol o dan y Ddeddf Rhyddid Gwybodaeth. Dyw'r cyngor yma ddim yn rheswm ychwanegol dros beidio â chyhoeddi gwybodaeth fel PA.
• Gofalwch nad oes data annisgwyl wedi'i gynnwys os oes angen cadw’r fformat gwreiddiol er mwyn cadw macros a hafaliadau defnyddiol.
• Datgelwch wybodaeth yn y fformat mwyaf priodol a diogel bob amser. Gall hyn olygu copïo gwybodaeth i fformat ffeil gwahanol. Dilynwch y cyngor perthnasol ar sut i ddatgelu gwybodaeth yn ddiogel: Creu a rhannu taenlenni.

Ystyriwch y canlynol hefyd:

• Os bydd cais am daenlenni ffynhonnell wreiddiol yn cael ei wneud trwy lwyfan ar-lein ac nad oes modd darparu'r un wybodaeth mewn fformat mwy diogel, dylai awdurdodau cyhoeddus ofyn i’r ceiswyr a allan nhw roi cyfeiriad arall ar gyfer gohebu.
• Er hynny, os yw ceisydd eisiau defnyddio'r cyfeiriad gwreiddiol, dylai'r awdurdod cyhoeddus barhau i ymateb i'r cais yn unol â'u rhwymedigaethau o dan y Ddeddf Rhyddid Gwybodaeth, a sicrhau eu bod yn cymryd camau hefyd i wneud yn siŵr nad oes yna dor data .
• Dylai awdurdodau cyhoeddus sicrhau bod gwybodaeth bersonol yn cael ei chofnodi a'i chadw yn y fformat mwyaf priodol a chymesur. Rhaid iddi gydymffurfio â'r egwyddorion diogelwch a’r egwyddorion lleihau data o fewn Egwyddor (c) GDPR y Deyrnas Unedig: Lleihau data.

Camau nesaf

Bydd yr ICO:

1. Creu offeryn 'i fyny'r afon' newydd ar ffurf rhestr wirio i awdurdodau cyhoeddus ei defnyddio er mwyn datgelu gwybodaeth yn ddiogel ac yn briodol.
2. Adolygu a diweddaru canllawiau’r ICO: Sut i ddatgelu gwybodaeth yn ddiogel.
3. Ymgysylltu â llwyfannau ar-lein sy'n hwyluso rhyddid gwybodaeth a thryloywder mewn ffordd ddiogel.

¹Ymateb yr ICO i dor data yn Heddluoedd Norfolk a Suffolk | ICO 15 Awst 2023

²Datganiad yr ICO mewn ymateb i adroddiadau o dor data yng Ngwasanaeth Heddlu Gogledd Iwerddon | ICO 09 Awst