Ystadegau ac ymchwil: datganiad ar gyfrinachedd a gweld data

Caiff y Datganiad hwn ei gyhoeddi yn unol â'r gofynion a nodwyd yn Egwyddor T6: Llywodraethu Data yn y Cod Ymarfer ar gyfer Ystadegau.

Mae'n disgrifio'r trefniadau yr ydym wedi'u rhoi yn eu lle er mwyn:

• gwarchod diogelwch ein data a chadw at ein sicrwydd na fydd unrhyw ystadegau'n cael eu cynhyrchu sy'n debygol o enwi unigolyn neu sefydliad (mewn amgylchiadau eithriadol iawn mae’n bosibl y byddwn yn cysylltu â sefydliad i ofyn am ganiatâd i’w henwi yn un o’n hallbynnau ystadegol)
• ac ar yr un pryd, cael y gwerth mwyaf o'r microddata hyn, ar ôl eu derbyn, trwy ganiatáu i drydydd parti dilys ac awdurdodedig hefyd eu gweld

Mae dadansoddwyr tîm Ystadegau ac Ymchwil Gymdeithasol Llywodraeth Cymru yn cadw ac yn prosesu data amrywiol sy'n sensitif am eu bod naill ai'n bersonol neu'n fasnachol sensitif.

Cymerir camau penodol i gadw data o'r fath yn gyfrinachol ac yn ddiogel:

• cedwir bob amser at y ddeddfwriaeth a'r codau ymarfer ar gasglu, storio a defnyddio data cyfrinachol
• dim ond pan fo ystyriaeth ofalus wedi’i rhoi i’r risg sydd ynghlwm wrth ryddhau gwybodaeth gyfrinachol, er mwyn sicrhau na ellir enwi unrhyw unigolyn na sefydliad, y byddwn yn cyhoeddi ystadegau
• mae aelodau'r staff yn cael hyfforddiant priodol ar fesurau diogelwch gwybodaeth, ac ar bwysigrwydd sicrhau eu bod yn dilyn camau priodol i weld data cyfrinachol, a'u bod yn gwneud hynny dim ond pan fo’n gwbl angenrheidiol
• rhaid i unrhyw drefniadau i weld data gael eu llofnodi gan unrhyw ymchwilwyr neu gontractwyr allanol a allai gael caniatâd i weld data cyfrinachol, tra bo datganiadau cyfrinachedd yn cael eu gwneud gan gydweithwyr mewnol sy'n gweithio y tu allan i dîm Ystadegau ac Ymchwil Llywodraeth Cymru
• mae trefniadau cyfrinachedd yn cael eu parchu pan dderbynnir data oddi wrth sefydliadau eraill

Nod tîm Ystadegau ac Ymchwil Llywodraeth Cymru yw sicrhau bod ganddo'r polisïau, y systemau a'r arferion gofynnol yn eu lle, er mwyn bodloni safonau rhyngwladol ar systemau rheoli diogelwch gwybodaeth.

Mae aelodau'r staff yn derbyn hyfforddiant priodol ar fesurau diogelwch TG, gan gynnwys y cwrs gorfodol “Cyfrifol am Wybodaeth”, a ddatblygwyd gan Swyddfa'r Cabinet a’r darparwr Dysgu’r Gwasanaeth Sifil.

Mae gan Lywodraeth Cymru Berchnogion Asedau Gwybodaeth ar draws y sefydliad, ac uwch-reolwyr, sy’n gyfrifol am:

• adnabod a chofnodi asedau gwybodaeth
• sicrhau bod staff sy'n rheoli asedau gwybodaeth yn yr Adran wedi'u hyfforddi'n briodol
• rheoli risgiau sy'n berthnasol i asedau gwybodaeth
• sicrhau bod gwybodaeth yn cael ei throsglwyddo i ddarparwyr trydydd parti gyda threfniadau llywodraethu a diogelwch priodol yn eu lle, a bod cyflenwyr trydydd parti sy'n rheoli ein gwybodaeth yn ymwybodol o'u cyfrifoldebau

Mae’r Prif Ystadegydd a’r Prif Swyddog Ymchwil Gymdeithasol yn Berchnogion Asedau Gwybodaeth ar gyfer eu priod feysydd o gyfrifoldeb.

Mae staff yn gweithio yn unol â pholisi diogelwch Llywodraeth Cymru sy’n rhoi arweiniad i staff ar ddiogelu gwybodaeth ym mhob cyd-destun gwaith (hynny yw, ar safleoedd Llywodraeth Cymru ac oddi ar ei safleoedd). Rhaid i bob aelod o'r staff yn y sefydliad a phob ymwelydd gael pàs diogelwch er mwyn cael mynediad i unrhyw safle. Ni chaiff y cyhoedd fynediad i unrhyw ran o'r sefydliad lle gallai data ystadegol cyfrinachol gael eu cadw.

Mae unrhyw ddata sy’n cael eu storio neu eu cysoni ar liniaduron yn ddiogel gan fod pob gliniadur yn defnyddio amgryptiad gyriant BitLocker. Caiff unrhyw ddata sy’n cael eu storio ar liniaduron eu rheoli gan hunaniaethau sefydliadol ac mae polisïau cadw data yn dileu data lleol bob 60 diwrnod. Caiff data sy'n ymwneud ag unigolion, aelwydydd neu fusnesau eu trosglwyddo o fewn y rhwydwaith corfforaethol, neu eu rhannu drwy wasanaethau amgryptio data, fel, iShare Connect Llywodraeth Cymru (sy’n debyg i Dropbox) neu ein systemau cyfnewid DEWi ac AFON. Gellir negeseua’n ddiogel drwy’r gwasanaeth amgryptio e-byst a ddarperir gan O365.

Rydym yn defnyddio cyfuniad o reolwyr prosiectau arolygon a rheolwyr data (a elwir weithiau yn geidwaid data) i ddiogelu a chynnal ein data. Mae staff tîm Ystadegau ac Ymchwil Llywodraeth Cymru wedi'u hyfforddi ynglŷn â phwysigrwydd dilyn camau priodol wrth gael mynediad at ddata cyfrinachol, ac o wneud hynny dim ond pan fydd yn gwbl angenrheidiol. Yn ogystal, rydym yn defnyddio'r Datganiad o Gyfrinachedd wrth rannu data unigol neu bersonol â staff yn y sefydliad nad ydynt yn gweithio i dîm Ystadegau ac Ymchwil Llywodraeth Cymru.

Rydym yn cydymffurfio â chyfraith diogelu data, gan gynnwys Rheoliad Cyffredinol y DU ar Diogelu Data (GDPR), ac mae hysbysiadau preifatrwydd yn cael eu defnyddio ar gyfer casgliadau data perthnasol i sicrhau bod gwrthrychau data a chyflenwyr data yn ymwybodol o ddiben y casgliad a sut y bydd eu data'n cael eu defnyddio. Pan fydd contractwyr yn ymgymryd â gwaith ar ein rhan, mae’r contract sydd rhyngom ni a hwythau yn cynnwys amodau ynghylch diogelu data personol a chyfrinachol.

Rydym yn asesu'r risg o ddatgelu gwybodaeth unigolion yn ddamweiniol ar gyfer pob un o'n hallbynnau perthnasol yn rheolaidd, a chaiff y technegau datgelu ystadegol a ddefnyddir i leihau'r risgiau hynny eu teilwra’n benodol ar gyfer pob allbwn i fodloni'r sicrwydd a roddwyd mewn perthynas â chadw'r data'n gyfrinachol. Mae'r asesiadau risg hynny'n cael eu hadolygu'n rheolaidd er mwyn sicrhau eu bod yn cynnig y cydbwysedd angenrheidiol rhwng rheoli'r risg a defnyddio'r data.

Gallwn ddarparu microddata at ddibenion ystadegol ac ymchwil i ymchwilwyr dilys y sector academaidd, awdurdodau lleol, Cyrff Cyhoeddus Cymru, ymchwilwyr meddygol, adrannau eraill y llywodraeth, a gweinyddiaethau datganoledig eraill. Gellir rhyddhau data yn unol â'r trefniadau a ddisgrifir mewn Trefniant Mynediad i Ddata ffurfiol (neu weithiau drwy Gytundeb Lefel Gwasanaeth, Concordat, neu gontract). Byddwn yn sicrhau, oni bai bod wir angen fel arall, mai data nad ydynt yn bersonol a rennir neu rydym yn rhoi mynediad at ddata dienw drwy amgylchedd ymchwil diogel, priodol (er enghraifft, banc data SAIL neu SeRP Llywodraeth Cymru).  Dim ond pan fo llwybr cyfreithiol clir a diben perthnasol ar gyfer gwneud hynny, yn unol â deddfwriaeth, y byddwn yn rhannu data personol sy’n enwi unigolyn neu sefydliad. 

Ym mhob achos, rhaid i bob darpar ddefnyddiwr wneud cais i'r Prif Ystadegydd er mwyn cael cymeradwyaeth i ryddhau'r data. Mewn rhai amgylchiadau, bydd y Prif Ystadegydd yn dirprwyo’r gymeradwyaeth hon i ystadegydd arall sy’n gweithio ar lefel uchel neu i’r Prif Swyddog Ymchwil Gymdeithasol.

Mae manylion y data a rennir, y defnydd o'r data y cytunwyd arno, y sail gyfreithiol ar gyfer rhannu'r data, y dull o drosglwyddo'r data, a'r dyddiad y disgwylir eu dinistrio wedi'u nodi yn y cytundeb i'w lofnodi gan y corff sy'n gwneud cais. Rhaid i'r Prif Ystadegydd gymeradwyo’r Cytundeb er mwyn rhoi'r awdurdod i'r maes busnes ryddhau'r data. Mae manylion pob cais awdurdodedig i weld data'r sefydliad sy'n ymwneud ag unigolion, aelwydydd neu fusnesau yn cael eu diweddaru’n rheolaidd ar tudalen 'Rhannu data at ddibenion ystadegau ac ymchwil'.

Rhaid i'r rheini sy'n cael caniatâd i weld data personol lofnodi Llythyr Agweddau ar Ddiogelwch i gadarnhau eu bod yn cytuno â’r safonau diogelwch technegol a ffisegol.Ar hyn o bryd, rydym yn defnyddio dwy system ddiogel (AFON, DEWI) ar gyfer casglu a rhannu data, ochr yn ochr â dulliau corfforaethol (iShare Connect) sy’n galluogi i amrywiol fathau o ffeiliau gael eu rhannu’n ddiogel. Mae'r systemau hyn yn sicrhau bod modd trosglwyddo gwahanol fathau o ddata rhwng Llywodraeth Cymru a'i darparwyr neu ei defnyddwyr data yn ddiogel.

Rhaid i'r Prif Ystadegydd (gan ymgynghori â'r Ystadegydd Gwladol yn ôl yr angen) awdurdodi unrhyw eithriadau i'r egwyddor o ddiogelwch cyfrinachedd cyn i unrhyw ddata gael eu rhyddhau. Mae cofnodion sy’n gysylltiedig ag unrhyw awdurdodiadau yn cael eu cadw mewn ffeil gofrestredig.