Referință: RGPD

POLITICA DE INSTRUIRE COD: POL-10

Versiune 1.0
Data:24.12.2021
Pagina:1 din 7

DATA 06.08.2021 Exemplar nr. SEMNATURA

ELABORAT Bonea’s World SRL
VERIFICAT
APROBAT

●
1 SCOP
Prezenta politică are ca scop documentarea procesului de ținere sub control a procesului de
conștientizare și instruire prin stabilirea metodologiei pentru identificarea necesităților de
instruire astfel încât Zeus Conta să se asigure că personalul care procesează informații ale Zeus
Conta și, în special, date cu caracter personal este instruit corespunzător și continuu.

2 DOMENIU
Această politică se aplică programului de formare și conștientizare a Zeus Conta, în cazul în care
este relevant pentru securitatea informațiilor conform ISO 27001 și RGPD, respectarea politicii
de securitate a informațiilor și a prevederilor RGPD precum și alte aspecte legate de protecția și
confidențialitatea datelor.
Procesul de instruire trebuie să acopere necesitățile specifice Zeus Conta pentru formarea,
conștientizarea, specializarea și / sau informarea tuturor angajaților, funcție de natura și
responsabilitățile specifice activității desfășurate atât sub aspectul abilităților și performanței
tehnico-profesionale, cât și din punct de vedere al înțelegerii și conformării la prevederile și
cerințele legislative, normative sau prevăzute în regulamentele interne de funcționare. Pentru o
bună planificare, organizare, desfășurare, urmărire, evaluare și analiză a procesului de instruire
trebuie avute în vedere :
● Domeniile relevante pentru care trebuie realizată o instruire continuă și temeinică cu
identificarea tematicilor relevante de abordat (pregătire / specializare / certificare
tehnico-profesională, cadrul legislativ / normativ și cerințele specifice aplicabile
activităților desfășurate, prevederi ale regulamentului intern de funcționare)
● Identificarea în totalitate a personalului propriu ce desfășoară activități relevante în
raport cu cerințele specifice de securitate a informației și, respectiv, de securitate și
protecție a datelor cu caracter personal
● Stabilirea riguroasă a participanților la instruire, a domeniilor de interes și a tematicilor
pentru fiecare forma de instruire, cu urmărirea, evaluarea și analiza rezultatelor
obținute în urma procesului de instruire
În procesul de instruire trebuiesc urmărite:
● obiectivele specifice asigurării securității informației conform cu prevederile ISO 27001
● obiectivele specifice privind asigurarea securității datelor cu caracter personal conform
cu cerințele RGDP
● conștientizarea în vederea respectării întocmai a tuturor prevederilor legale și a
normativelor specifice activităților desfășurate
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:2 din 7

● necesitățile de formare / specializare / certificare tehnico-profesională care să conducă

la creșterea calității și performanței activităților desfășurate, la întărirea poziției pe
piață și eficientizarea întregii activități a Zeus Conta.
● informarea permanentă privind regulile de conduită și prevederi specifice ale
regulamentului intern de funcționare
● Pentru conformarea la cerințele ISO 27001, procesul de instruire, prin tematica
abordată, va trebui să răspundă prin formarea / informarea / conștientizarea
personalului care direct sau indirect are acces la sistemul informațional al Zeus Contala
următoarele subiecte stabilite, monitorizate și analizate de către conducerea Zeus
Conta: obiectivele politicii de securitate a informației în concordanță cu strategia Zeus
Conta.
● mecanismele, procedurile și regulile de integrare a politicii de securitate a informației în
toate procesele desfășurate în cadrul activităților Zeus Conta
● resursele disponibilizate și alocate asigurării securității informației în cadrul Zeus Conta
importanța respectării întocmai a cerințelor impuse de politica de securitate a
informației precum și detalierea potențialelor riscuri identificate cu menționarea
modalităților de management al acestor riscuri
● procesul de urmărire, evaluare și analiză a conformării la cerințele politicii de securitate
a informației în vederea îmbunătățirii permanente
● responsabili și responsabilități privind aplicarea prevederilor politicii de securitate a
informației, urmărirea, evaluarea și analiza rezultatelor obținute cu atenție deosebită și
măsuri concrete și imediate pentru eventuale incidente manifestate sau cu potențial de
manifestare
Conformarea la cerințele, regulile și necesitățile specifice în cadrul Zeus Conta aferente
implementării și menținerii în conformitate a RGDP, în procesul de instruire, prin tematica
abordată, trebuiesc stabilite, acoperite integral și, eventual reluate cu completări ce se impun,
subiecte precum :
● rolul și importanța implementării, respectării întocmai și a îmbunătățirii permanente a
prevederilor RGDP în cadrul Zeus Conta .
● principii privind protecția datelor personale (legalitate, corectitudine, transparență)
● definirea exactă și cu exemplificări concrete din activitatea proprie a noțiunilor utilizate
în RGDP (locație, date personale, categorii speciale de date personale, operator de date,
persoană vizată, prelucrare, profilare, încălcarea datelor personale, consimțământul
persoanei vizate, copil, terță parte, procesele, procedurile și regulile de înregistrare,
organisme de auditare și control)
● obiective și reguli în procesele de inventariere a datelor cu caracter personal colectate,
procesate și stocate în procesele specifice activităților desfășurate în Zeus Conta ,
managementul riscurilor asociate precum și procedurile specifice de lucru utilizabile în
cadrul proceselor / activităților curente în care sunt implicate și date cu caracter
personal atât referitoare la personalul propriu cât și referitoare la persoane din alte
entități cu care Zeus Conta conlucrează (clienți, furnizori, colaboratori, parteneri,
autorități publice, etc.)
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:3 din 7

Instruirea privind RGDP se adresează întregului personal al Zeus Conta care, direct sau
indirect, are acces la date cu caracter personal (ale personalului intern și ale altor persoane
din exteriorul Zeus Conta) este stabilită ca strategie de către managementul organizației și
planificată, organizată, monitorizată, evaluată, analizată și raportată de către Responsabilul
(Ofițerul) pentru Protecția Datelor cu caracter Personal (RPD / OPD / DPO) care, permanent,
trebuie să ia măsuri concrete de actualizare și îmbunătățire a respectivului proces de
instruire.

3 DEFINIŢII ŞI PRESCURTĂRI
3.1 Definiții
Asigurarea Securității informațiilor presupune elaborarea politicilor și procedurilor de lucru, a
mecanismelor, regulilor și proceselor prin care se realizează păstrarea confidențialității,
integrității și disponibilității tuturor informațiilor accesate și care, printr-un management
performant al riscurilor, să justifice încrederea deplină în acțiunea comună cu toate părțile
interesate.
Date personale - orice informație referitoare la o persoană fizică identificată sau identificabilă
("persoana vizată"); o persoană fizică identificabilă este una care poate fi identificată, direct sau
indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare,
date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic,
genetic, mental, economic, cultural sau social al acelei persoane fizice.
Încălcarea protecției datelor cu caracter personal - încălcarea securității care conduce la
distrugerea, pierderea, modificarea accidentală sau ilegală, pierderea, modificarea, divulgarea
neautorizată sau accesul la datele personale transmise, stocate sau prelucrate în alt mod.
Operatorul are obligația de a raporta autorităților de supraveghere încălcări ale datelor cu
caracter personal și în care încălcarea ar putea afecta în mod negativ datele cu caracter
personal sau viața privată a persoanei vizate.

Consimțământul persoanei vizate este definit de RGPD ca fiind "orice indicație specifică,
informată și lipsită de ambiguitate a dorințelor persoanei vizate prin aceasta, printr-o declarație
sau printr-o acțiune clară afirmativă, exprimă acordul față de prelucrarea datelor personale
referitoare la persoana sa ".

3.2 Prescurtări
RGPD = Regulament general privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date
DPO/RPD = Responsabil pentru protecția datelor cu caracter personal
SGIP = Sistem de gestionare a informațiilor personale.

4 DOCUMENTE DE REFERINŢĂ ŞI CONEXE

● ISO/IEC 27001 : 2013
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:4 din 7

● REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din

27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date.
● POL-01 - POLITICA ÎN DOMENIUL SECURITĂȚII INFORMAȚIEI
● POL-02 - Politica de protecție a datelor personale

5 RESPONSABILITĂŢI
Responsabilul cu procesul de instruire este proprietarul acestui document și are
responsabilitatea de a asigura, în directă colaborare cu persoana desemnată în calitate de
Responsabil cu securitatea informației și cu cea desemnată în calitate de Responsabil cu
Protecția Datelor cu caracter personal, că acest document este revizuit în conformitate cu
cerințele de revizuire menționate în regulamentele de mai sus.
O versiune actuală a acestui document este disponibilă tuturor membrilor personalului definit
la nivelul matricei de responsabilități

6 DESCRIEREA ACTIVITĂŢILOR

⮚ Planificarea
o Anual se elaborează un Plan Anual de Instruire constituit pe baza :
▪ solicitărilor angajaților Zeus Conta, aprobate și eventual completate de
către managerii cărora le sunt subordonați
▪ propunerilor formulate de către Responsabilul cu securitatea
informațiilor
▪ propunerilor formulate de către Responsabilul cu Protecția Datelor cu
caracter personal
▪ propunerilor formulate de către managerii diverselor compartimente
funcționale (Resurse Umane, Administrativ, Protecția Muncii, Sănătatea
muncii, Securitate și pază, Financiar-Contabilitate, etc.)
▪ Solicitărilor și strategiei managementului organizației
o În urma aprobării de către managementul organizației va preciza graficul
activităților de instruire, participanții la instruiri individuale / grupurile de
participanți și se va referi la :
▪ Cursuri asigurate de furnizori externi / forme de instruire externă /
documentații de specialitate – pentru formarea/specializarea/certificarea
tehnico-profesională a angajaților – cu menționarea tematicii, a
furnizorilor agreați și a bugetului alocat
▪ Cursuri / forme de instruire internă care să acopere necesitățile interne
de instruire / informare / conștientizare a personalului privind :
● Aplicarea și respectarea politicii de securitate a informației
● Aplicarea și respectarea prevederilor Politicii de Protecție a
Datelor cu caracter personal
● Regulamentul Intern de Organizare și Funcționare
● Managementul situațiilor de urgență
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:5 din 7

● Asigurarea securității și siguranței în muncă

● Alte tematici de interes și cu aplicabilitate pentru întreg
personalul sau pentru anumite categorii de personal funcție de
specificul activităților desfășurate precum și a responsabilităților
atribuite
⮚ Organizarea, desfășurarea, monitorizarea, evaluarea, analiza și raportarea rezultatelor
o În privința protecției datelor cu caracter personal, în procesul de instruire
dedicat, Responsabilul cu Protecția Datelor cu caracter personal are atribuții
specifice :
▪ Responsabilul cu protecția datelor atribuie angajaților responsabilități
legate de protecția datelor în legătură cu politicile și procedurile Zeus
Conta privind gestionarea datelor cu caracter personal.
▪ Responsabilul cu Protecția Datelor trebuie să se asigure că toți angajații
cu responsabilități zilnice în prelucrarea datelor cu caracter personal și
angajații cu acces permanent / regulat la datele cu caracter personal
demonstrează respectarea RGPD.
▪ Angajații trebuie sa fie capabili să demonstreze competența în
înțelegerea RGPD, modul în care acest lucru este practicat și implementat
în întreaga organizație.
▪ Responsabilul cu Protecția Datelor se asigură că acești membri ai
personalului au informații actualizate la zi despre orice probleme legate
de datele personale.
▪ Responsabilul cu Protecția Datelor deține o listă de organisme externe
relevante, dintre care cea mai importantă este Autoritatea Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal.
▪ Top managementul promovează programele de instruire și conștientizare
și pune la dispoziție resurse necesare pentru a crește gradul de
conștientizare. Responsabilul cu Protecția Datelor demonstrează și
comunică angajaților importanța protecției datelor în munca lor și se
asigură că aceștia înțeleg cum și de ce datele personale sunt prelucrate în
conformitate cu politicile și procedurile privind Zeus Conta.
▪ Responsabilul cu Protecția Datelor se asigură că toate cerințele de
securitate legate de protecția datelor sunt demonstrate și comunicate
angajaților / personalului pentru același efect.
▪ Angajații Zeus Conta sunt instruiți cu privire la prelucrarea datelor
personale relevante pentru rolurile și responsabilitățile lor de zi cu zi și în
conformitate cu politicile și procedurile societății.
▪ Angajații sunt instruiți cu privire la orice cerințe și proceduri de securitate
a informațiilor aplicabile protecției datelor și prelucrării datelor în cadrul
rolurilor și responsabilităților lor individuale zilnice, inclusiv în raportarea
încălcărilor datelor cu caracter personal.
▪ Angajații sunt instruiți cu privire la tratarea plângerilor legate de protecția
datelor și prelucrarea datelor cu caracter personal.
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:6 din 7

▪ Departamentul HR și Responsabilul cu Protecția Datelor păstrează

dovezile formării lor realizate cu fiecare persoană care are acest nivel de
responsabilitate.
▪ Toți angajații cu responsabilități zilnice ce implică operațiuni de
prelucrare a datelor cu caracter personal vor evalua la intervale
planificate SGIP (Sistemul de Gestionare a Informațiilor Personale) și
capacitatea sa de a demonstra conformitatea cu cerințele RGPD.
▪ Responsabilul de Protecție a Datelor și Departamentul de Resurse Umane
sunt responsabili pe de o parte de organizarea de formare relevantă
pentru toți angajații implicați și angajați în general și pe de altă parte cu
păstrarea înregistrărilor privind participarea personalului la formarea
relevantă la momente adecvate, în cadrul ciclului de afaceri al
organizației.
o Funcție de tematica abordată, instruirea internă poate fi organizată,
monitorizată, evaluată, analizată și raportată de către specialiști din cadrul
anumitor compartimente funcționale (Asigurarea Calității, Securitatea
informației, Protecția Muncii, etc.) sau de către managerii diverselor entități
organizatorice pentru personalul din subordine
o Procesele de instruire internă trebuie desfășurate pe baza unor prezentări /
materiale de curs / documente și documentații în prealabil avizate / propuse /
elaborate de către managementul organizației sau de către specialiști /
responsabili pe domeniile / tematicile abordate în procesul de instruire
o În general, instruirile interne ar trebui încheiate, pe cât posibil funcție de
obiectivele instruirii și a tematicii dezbătute, cu teste de verificare care să
permită o evaluare a măsurii în care informațiile prezentate au fost înțelese și
însușite de către participanți. Pe baza acestor evaluări vor fi instituite măsuri
concrete de îmbunătățire continuă a procesului de instruire.
⮚ Aplicarea de măsuri pentru îmbunătățirea continuă a procesului de instruire
o Pe baza rezultatelor obținute în procesele de instruire externă vor fi stabilite
strategii și măsuri concrete de continuare / extindere a eforturilor de formare /
specializare / certificare tehnico-profesională a angajaților Zeus Conta.
o Pe baza evaluărilor rezultatelor obținute în procesele de instruire internă, a
opiniilor, sugestiilor și/sau solicitărilor participanților precum și eventualelor noi
necesități identificate va fi actualizat Planul de instruire internă
⮚ Valorificarea rezultatelor obținute în procesul de instruire
o Rezultatele obținute la formele de instruire externă trebuie consemnate de către
compartimentul de Resurse Umane în Dosarul de carieră al angajatului
o Conform prevederilor Contractului Colectiv de Muncă, ale Contractului Individual
de Muncă și / sau al Regulamentelor Interne, după caz, compartimentul Resurse
Umane trebuie să încheie acte adiționale corespunzătoare și să comunice
angajatului drepturile și obligațiile ce decurg, pentru angajat și angajator, în
urma rezultatelor obținute în procesul de instruire
 Referință: RGPD
POLITICA DE INSTRUIRE COD: POL-10
Versiune 1.0
Data:24.12.2021
Pagina:7 din 7

o Rezultatele obținute la instruirile interne pot constitui argumente în evaluarea

angajatului, respectiv, a activității acestuia

7 ÎNREGISTRĂRI

8 ANEXE
Nu sunt

ACTUALIZĂRI

Nr. Sinteza actualizării Ediția, revizia Data

Crt. curentă
1.