Hysbysu’r cyhoedd am yr ymosodiad seiber ar systemau’r Comisiwn Etholiadol

Introduction

Mae gan y Comisiwn Etholiadol ddyletswydd o dan Erthyglau 33 a 34 Rheoliadau Diogelu Data Cyffredinol y DU i hysbysu testunau data os bu tor diogelwch data yn ein systemau o ganlyniad i gyrchu anaddas, colli data neu ddwyn data. Mae’r hysbysiad hwn yn cynnwys gwybodaeth bwysig am y data personol yr effeithiwyd arno, yr effaith ddichonadwy ar unigolion, a’r mesurau rydym wedi’u cymryd mewn ymateb i ymosodiad seiber cymhleth.

Cafodd y digwyddiad ei nodi gyntaf ym mis Hydref 2022 ar ôl i weithgarwch amheus gael ei ganfod ar ein systemau. Daeth yn glir bod gweithredwyr gelyniaethus wedi cael mynediad cyntaf i’r systemau ym mis Awst 2021.

Yn ystod yr ymosodiad seiber, roedd gan y cyflawnwyr fynediad i weinyddion y Comisiwn a oedd yn dal ein e-byst, ein systemau rheoli, a chopïau o’r gofrestrau etholiadol.

Roeddent wedi gallu cyrchu copïau cyfeirio o’r cofrestrau etholiadol, a ddelir gan y Comisiwn at ddibenion ymchwil ac er mwyn galluogi gwiriadau caniatâd ar roddion gwleidyddol. Mae’r cofrestrau a ddaliwyd yn ystod yr ymosodiad seiber yn cynnwys enw a chyfeiriad unrhyw un ym Mhrydain Fawr a gofrestrodd i bleidleisio rhwng 2014 a 2022, enwau’r rheiny a gofrestrodd fel pleidleiswyr tramor yn ystod yr un cyfnod, ac enwau a chyfeiriadau unrhyw un a gofrestrodd yng Ngogledd Iwerddon yn 2018. Nid oedd y cofrestrau’n cynnwys manylion pobl a oedd wedi’u cofrestru’n ddienw. Roedd system e-byst y Comisiwn hefyd yn hygyrch yn ystod yr ymosodiad.

Rydym yn deall y pryder y gall yr ymosodiad hwn ei achosi ac hoffem ymddiheuro i’r rheiny sydd wedi cael eu heffeithio gan hyn. Ers i’r ymosodiad gael ei ganfod, rydym wedi gweithio gydag arbenigwyr diogelwch er mwyn archwilio’r digwyddiad ac wedi cymryd camau i ddiogelu ein systemau a lleihau’r risg o ymosodiadau yn y dyfodol.

Hysbysiad i'r cyhoedd

Ein hasesiad ni yw nid oes risg uchel i unigolion o ganlyniad i’r wybodaeth yr effeithiwyd arni gan y tor diogelwch data hwn. Rhoddir yr hysbysiad hwn oherwydd y niferoedd uchel o ddata personol y mae’n bosibl y cawsant eu gweld neu eu dileu yn ystod yr ymosodiad seiber.

Data personol yr effeithiwyd arno gan y digwyddiad hwn: 

  • Data personol sydd wedi’i gynnwys yn system e-byst y Comisiwn:
    • Enw, enw cyntaf a chyfenw. 
    • Cyfeiriadau e-bost (personol a/neu fusnes).
    • Cyfeiriad cartref os cafodd ei gynnwys mewn ffurflen we neu e-bost.
    • Rhif ffôn cyswllt (personol a/neu busnes). 
    • Cynnwys y ffurflen we a’r e-bost a all gynnwys data personol.
    • Unrhyw ddelweddau personol a anfonwyd i’r Comisiwn. 
  • Data personol sydd wedi’i gynnwys yng nghofnodion y Gofrestr Etholiadol: 
    • Enw, enw cyntaf a chyfenw 
    • Cyfeiriad cartref yng nghofnodion y gofrestr 
    • Y dyddiad pan fydd person yn cyrraedd yr oedran pleidleisio yn y flwyddyn honno.

Data’r Gofrestr Etholiadol nas delir gan y Comisiwn 

  • Cofrestriadau dienw
  • Cyfeiriadau etholwyr tramor sydd wedi’u cofrestru y tu allan i’r DU.

Copïau o’r gofrestr etholiadol

Mae’r Comisiwn yn dal copïau o’r cofrestrau etholiadol er mwyn galluogi ei swyddogaethau statudol. Fe’u defnyddir at ddibenion ymchwil ac er mwyn galluogi gwiriadau caniatâd ar roddion gwleidyddol. Nid yw data’r gofrestr etholiadol a ddelir gan y Comisiwn wedi’i ddiwygio na’i newid mewn unrhyw ffordd o ganlyniad i’r ymosodiad, ac mae’n parhau i fod yn yr un ffurf y cawsom ef.   Mae’r data sydd wedi’i gynnwys yn y cofrestrau yn gyfyngedig, ac mae llawer ohono yn gyhoeddus yn barod. Mae ein polisi preifatrwydd ar-lein ar gael ar-lein yn y ddolen ganlynol: https://www.electoralcommission.org.uk/cy/hysbysiad-preifatrwydd 

Effaith ar unigolion

Yn ôl yr asesiad risg a ddefnyddiwyd gan Swyddfa’r Comisiynydd Gwybodaeth i asesu niwed toriadau diogelwch data, nid yw’r data personol a ddelir ar gofrestrau etholiadol – fel arfer enwau a chyfeiriadau – yn risg uchel i unigolion. Serch hynny, mae’n bosibl y gellir cyfuno’r data hwn gyda data arall sy’n gyhoeddus, megis yr hyn y mae unigolion yn dewis ei rannu eu hunain, i awgrymu patrymau ymddygiad neu i adnabod a phroffilio unigolion. 

Nid yw’r ymosodiad wedi cael effaith ar y broses etholiadol, nac ar hawliau neu fynediad unigolyn at y broses ddemocrataidd. Nid ydyw ychwaith wedi cael effaith ar statws cofrestru etholiadol unrhyw un.

Mae’r data personol a ddelir ar weinyddwyr e-byst y Comisiwn hefyd yn annhebygol o fod yn risg uchel i unigolion oni bai bod rhywun wedi anfon gwybodaeth sensitif neu bersonol atom yng nghorff e-bost, megis atodiad, neu drwy ffurflen ar ein gwefan. Gall gwybodaeth o’r fath gynnwys cyflyrau meddygol, rhywedd, tueddfryd rhywiol neu fanylion ariannol personol. Delir gwybodaeth yn ymwneud â rhoddion a/neu fenthyciadau i bleidiau gwleidyddol cofrestredig ac ymgyrchwyr nad ydynt yn bleidiau mewn system nad ydyw wedi’i heffeithio gan y digwyddiad hwn.

Nid oes angen cymryd camau ar unwaith mewn ymateb i’r hysbysiad hwn. Fodd bynnag, dylai unrhyw un sydd wedi bod mewn cysylltiad â’r Comisiwn, neu a gofrestrodd i bleidleisio ym Mhrydain Fawr rhwng 2014 a 2022, ac yng Ngogledd Iwerddon yn 2018, barhau i fod yn wyliadwrus am ddefnydd neu ryddhad anawdurdodedig o’u data personol. Os oes gennych unrhyw bryderon ynglŷn â data personol y gallwch fod wedi ei anfon i’r Comisiwn, cysylltwch â’n Swyddog Diogelu Data gan ddefnyddio’r manylion isod.

Lliniariadau

Rydym wedi cymryd camau i ddiogelu ein systemau yn erbyn ymosodiadau yn y dyfodol ac wedi gwella ein amddiffyniadau o amgylch data personol. Rydym wedi cryfhau ein gofynion mewngofnodi i’n rhwydwaith, gwella’r system monitro a hysbysu am fygythiadau gweithredol ac adolygu a diweddaru ein polisïau wal dân. Mae’r Comisiwn wedi gweithio gydag arbenigwyr diogelwch allanol a’r Ganolfan Seiberddiogelwch Genedlaethol er mwyn ymchwilio a diogelu ei systemau. 

Mae gan destunau data yr hawl i gwyno i’r Awdurdod Goruchwylio yn y DU, sef Swyddfa’r Comisiynydd Gwybodaeth.

Cyswllt

Cyfeiriad swyddfa Llundain y Comisiwn Etholiadol: 3 Bunhill Row, Llundain EC1Y 8YZ, e-bost: [email protected] at ddibenion yr hysbysiad hwn. Y Swyddog Diogelu Data yw Andrew Simpson, Pennaeth Digidol, Data, Technoleg a Chyfleusterau.