Documente legale

Politica de confidențialitate

Versiunea 1.0 · Ultima actualizare: 19 mai 2026

Această politică explică ce date personale prelucrăm pe site-ul marturieathonita.ro, pentru ce scop, pe ce temei legal, cine are acces la ele și pentru cât timp le păstrăm. Este scrisă să poată fi citită în întregime — fără ascunzișuri și fără jargon inutil.

1. Operatorul de date

Operatorul de date cu caracter personal este:

CHILIA BUNA VESTIRE — SCHITUL LACU — SFÂNTUL MUNTE ATHOS
Cod fiscal: RO14407358
Înregistrare R.C./Aut.: 125A/PJ/2001
Sediu: București, Sector 4
E-mail general: athos@marturieathonita.ro
Telefon: +30 23770 23636

Asociația operează site-ul în interesul obștii Chiliei Buna Vestire de la Schitul Lacu, Sfântul Munte Athos (Grecia).

3. Cadrul legal aplicabil

Prelucrarea datelor se face cu respectarea:

Regulamentul (UE) 2016/679 (GDPR) — Regulamentul general privind protecția datelor;
Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România;
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (transpunerea Directivei ePrivacy 2002/58/CE);
Legea nr. 365/2002 privind comerțul electronic;
Legea nr. 82/1991 a contabilității și O.G. nr. 26/2000 cu privire la asociații și fundații, pentru obligațiile de păstrare a documentelor financiar-contabile;
Codul Civil român.

4. Categoriile de date, scopuri și temei legal

Site-ul desfășoară șase activități distincte de prelucrare a datelor. Pentru fiecare descriem mai jos categoriile de date, scopul, temeiul legal, durata păstrării și destinatarii.

A. Formular de pomelnic — /pomelnice/

Date prelucrate	nume donator, adresă de e-mail, lista numelor pentru pomenire (vii și adormiți), durata pomenirii, suma donației, moneda, metoda de plată (bancă sau Revolut), referința tranzacției, cod intern de pomelnic.
Scop	înscrierea numelor la sfintele slujbe ale obștii; confirmarea donației prin e-mail către donator; comunicarea pomelnicului către obște pentru pomenire; verificarea concordanței cu extrasul bancar; păstrarea evidenței conform legii contabilității.
Temei legal	Art. 6 alin. (1) lit. (a) GDPR — consimțământ explicit, exprimat prin bifa de pe formular; Art. 9 alin. (2) lit. (d) GDPR — derogarea pentru asociațiile cu scop religios, privind membrii și persoanele care au contact regulat în legătură cu scopurile asociației (apartenența religioasă este o categorie specială de date, prelucrată exclusiv în acest cadru).
Termen de păstrare	10 ani pentru documentele cu valoare contabilă (Legea 82/1991 art. 25); 5 ani pentru e-mailurile tranzacționale fără valoare contabilă; după aceste termene, datele sunt șterse sau anonimizate.
Destinatari	Resend, Inc. (Delaware, SUA) — furnizor de e-mail tranzacțional, sub un acord de prelucrare a datelor (DPA); obștea chiliei (e-mailul `pomelnic@marturieathonita.ro`), pentru pomenirea propriu-zisă; banca operatorului, pentru reconcilierea donațiilor identificate prin referință.

Ciorna formularului poate fi salvată local în browser (prin localStorage) sub cheia pomelnic-draft-v2; aceste date nu părăsesc dispozitivul până în momentul trimiterii.

B. Formular de contact — /contact/

Date prelucrate	nume, adresă de e-mail, subiect (opțional), conținutul mesajului.
Scop	răspunsul la mesajul transmis.
Temei legal	Art. 6 alin. (1) lit. (a) GDPR — consimțământ explicit, exprimat prin bifa de pe formular.
Termen de păstrare	24 luni de la ultima corespondență; dacă rezultă o relație duhovnicească continuă (corespondență recurentă, sfat duhovnicesc), datele se păstrează pe durata acelei relații, până la cererea de încetare.
Destinatari	Resend, Inc. (Delaware, SUA) — furnizor de e-mail tranzacțional, sub un acord de prelucrare a datelor (DPA); transferul în SUA este acoperit de EU-US Data Privacy Framework. Resend livrează simultan două e-mailuri: o notificare către `athos@marturieathonita.ro` și o confirmare către adresa indicată de dumneavoastră. Adresa IP a expeditorului este folosită pentru limitarea abuzurilor în memoria de execuție a serverului, dar nu este stocată dincolo de fereastra de control anti-spam.

Date prelucrate	adresă de e-mail.
Scop	trimiterea unui mesaj săptămânal cu un cuvânt patristic, ales de obște.
Temei legal	Art. 6 alin. (1) lit. (a) GDPR — consimțământ exprimat prin trimiterea formularului.
Termen de păstrare	până la dezabonare prin linkul din e-mail sau prin cerere la `gdpr@marturieathonita.ro`.
Destinatari	backend-ul WordPress al chiliei și, după caz, furnizorul de e-mail tranzacțional folosit pentru trimitere (Resend).

D. Logare evenimente 404

Date prelucrate	URL solicitat, șir de interogare (query string), user-agent, antetul Referer, cod ISO de țară (derivat din adresa IP, dar IP-ul însuși nu este stocat), sursa beacon-ului și mediul (staging/producție).
Scop	securitatea site-ului, depanarea linkurilor rupte, identificarea modelelor de scanare automată sau de scraping abuziv.
Temei legal	Art. 6 alin. (1) lit. (f) GDPR — interes legitim al operatorului în protejarea infrastructurii și asigurarea funcționării corecte a site-ului.
Termen de păstrare	90 de zile (politica implicită Cloudflare Analytics Engine).
Destinatari	Cloudflare, Inc. (SUA, certificat în cadrul EU-US Data Privacy Framework).

E. Statistici de trafic (Jetpack)

Date prelucrate	vizualizări de pagină (URL accesat), hostname, user-agent, fereastra temporală a accesului, pseudo-identificator de sesiune pe domeniul `stats.wp.com`.
Scop	măsurarea audienței agregate, optimizarea editorială. Datele rezumate (număr de vizualizări per articol, țări de proveniență) ajută obștea să înțeleagă ce conținut este util cititorilor.
Temei legal	Actualmente art. 6 alin. (1) lit. (f) GDPR — interes legitim, justificat de natura pseudonimă a datelor și de inexistența profilării sau a retargetingului. Notă transparentă: într-o versiune viitoare, această prelucrare va fi gestionată printr-un mecanism explicit de consimțământ (banner cookie-uri), conform Legii 506/2004, sau înlocuită cu o soluție analitică fără identificare. Această tranziție este planificată și va fi anunțată separat.
Termen de păstrare	conform politicii Automattic — în general 30–90 zile pentru date individuale, perioade mai lungi pentru agregate.
Destinatari	Automattic, Inc. (SUA, certificat EU-US DPF), prin `stats.wp.com`.

F. Donații prin transfer bancar și Revolut — /donatii/

Date prelucrate	nume al ordonatorului așa cum apare pe extrasul de cont, IBAN ordonator, sumă, monedă, referință transmisă, dată plată.
Scop	încasarea donației, identificarea donatorului pentru evidență contabilă, înscrierea la pomenire pe baza referinței atunci când există.
Temei legal	Art. 6 alin. (1) lit. (c) GDPR — obligație legală: Legea contabilității nr. 82/1991, O.G. nr. 26/2000 cu privire la asociații și fundații; Art. 6 alin. (1) lit. (f) GDPR — interes legitim pentru identificarea donatorului și mulțumirile cuvenite.
Termen de păstrare	10 ani conform legii contabilității, începând cu sfârșitul exercițiului financiar în care s-a încheiat operațiunea.
Destinatari	Banca Comercială Română (BCR) ca instituție bancară a beneficiarului; Trezoreria Statului și A.N.A.F. dacă există raportări obligatorii (de exemplu, raportările aferente donațiilor 3,5%).

Important: chilia nu este operator al datelor cardurilor bancare. Plata se efectuează integral din aplicația bancară a donatorului către IBAN-urile asociației; site-ul nu interoghează niciun procesator de carduri și nu primește detalii ale cardului.

5. Date sensibile (categorii speciale)

Prin trimiterea unui pomelnic, dumneavoastră comunicați implicit apartenența religioasă creștin-ortodoxă — a dumneavoastră și, în mod indirect, a persoanelor pe care le înscrieți la pomenire. Această categorie de date este protejată în mod special de art. 9 GDPR.

Prelucrarea se face în temeiul derogării prevăzute la art. 9 alin. (2) lit. (d) GDPR: este efectuată în cadrul activităților legitime, cu garanții corespunzătoare, de către o asociație fără scop lucrativ cu specific religios, cu condiția ca prelucrarea să se refere numai la membri sau la foștii membri ai asociației sau la persoane cu care aceasta are contacte regulate în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate.

Datele privind apartenența religioasă nu sunt comunicate terților în afara cazurilor strict tehnice descrise mai sus (Resend pentru livrarea e-mailului, banca pentru tranzacția propriu-zisă) și nu sunt folosite în scop de marketing, profilare sau analiză.

7. Destinatari și persoane împuternicite

Operatorul lucrează cu următorii furnizori în calitate de persoane împuternicite (procesatori), pe baza de contracte care includ clauze GDPR (DPA):

Furnizor	Rol	Locație principală	Cadru de transfer
Resend, Inc.	E-mail tranzacțional (pomelnice, formular contact, eventual newsletter)	SUA	EU-US DPF + SCC
Cloudflare, Inc.	CDN, Workers, jurnal 404, protecție anti-bot	SUA / rețea globală	EU-US DPF + SCC
BunnyWay d.o.o. (Bunny.net)	CDN pentru imagini	Slovenia / SEE	SEE — fără transfer extra-UE
Automattic, Inc. (Jetpack)	Statistici de trafic agregate	SUA	EU-US DPF + SCC
Google LLC (YouTube nocookie)	Înglobări video, încărcate doar la solicitarea utilizatorului	SUA	EU-US DPF
Furnizor de hosting WordPress	Stocarea conținutului editorial (articole, pagini, imagini)	RO / SEE	SEE — fără transfer extra-UE
Banca Comercială Română (BCR)	Procesarea încasărilor pe IBAN-urile asociației	RO	SEE — fără transfer extra-UE

Operatorul nu vinde, nu închiriază și nu pune la dispoziție în alt mod datele cu caracter personal către terți în scop de marketing.

8. Transferuri internaționale (art. 44–49 GDPR)

Anumite servicii folosite (Resend, Cloudflare, Automattic, Google) sunt operate de companii cu sediul în Statele Unite. Transferurile către SUA sunt acoperite de:

Cadrul UE-SUA pentru confidențialitatea datelor (EU-US Data Privacy Framework) — decizie de adecvare a Comisiei Europene din 10 iulie 2023; lista certificărilor este publică la dataprivacyframework.gov;
Clauzele Contractuale Standard ale Comisiei Europene (Decizia 2021/914/UE), ca mecanism subsidiar de garanție.

La cerere, vă putem furniza o listă actualizată a destinatarilor și a temeiurilor de transfer specifice fiecărei prelucrări.

9. Drepturile dumneavoastră

În calitate de persoană vizată, aveți următoarele drepturi conform Regulamentului (UE) 2016/679:

Dreptul de acces (art. 15): Să obțineți confirmarea faptului că prelucrăm date despre dumneavoastră, o copie a acestor date și informații despre prelucrare.
Dreptul la rectificare (art. 16): Să cereți corectarea fără întârziere a datelor inexacte sau completarea celor incomplete.
Dreptul la ștergere — „dreptul de a fi uitat” (art. 17): Să cereți ștergerea datelor în cazurile prevăzute de lege. Acest drept este limitat de obligațiile de păstrare contabilă (10 ani) pentru documentele aferente donațiilor.
Dreptul la restricționarea prelucrării (art. 18): Să cereți limitarea prelucrării când contestați exactitatea, când prelucrarea este ilegală sau când operatorul nu mai are nevoie de date dar dumneavoastră aveți nevoie pentru a constata, exercita sau apăra un drept în instanță.
Dreptul la portabilitate (art. 20): Să primiți datele într-un format structurat, utilizat în mod curent și care poate fi citit automat, și să le transmiteți altui operator, în cazul prelucrărilor bazate pe consimțământ sau pe contract.
Dreptul la opoziție (art. 21): Să vă opuneți prelucrării bazate pe interes legitim (cazul logării 404 și al statisticilor Jetpack), din motive ce țin de situația dumneavoastră particulară.
Dreptul de a vă retrage consimțământul (art. 7 alin. 3): Pentru prelucrările bazate pe consimțământ (pomelnic, contact, newsletter), vă puteți retrage acordul oricând, fără a afecta legalitatea prelucrării anterioare retragerii.
Dreptul de a nu fi supus unei decizii automate (art. 22): Declarăm explicit: nu folosim decizii automate cu efect juridic și nu facem profilare a utilizatorilor.
Dreptul la notificare în caz de încălcare a securității datelor (art. 34): Veți fi notificat fără întârzieri nejustificate dacă o încălcare a securității datelor poate genera un risc ridicat pentru drepturile și libertățile dumneavoastră.

10. Cum vă exercitați drepturile

Solicitările privind drepturile de mai sus pot fi transmise:

prin e-mail la gdpr@marturieathonita.ro (fallback temporar: athos@marturieathonita.ro);
prin poștă, la sediul asociației.

Răspundem în maximum 30 de zile calendaristice de la primirea unei cereri completate, conform art. 12 alin. (3) GDPR. Termenul poate fi prelungit cu cel mult două luni în cazuri complexe sau dacă primim un număr mare de solicitări, cu notificarea dumneavoastră în primele 30 de zile.

Putem solicita informații suplimentare pentru a vă verifica identitatea, dacă există îndoieli rezonabile. Exercitarea drepturilor este gratuită pentru prima solicitare; cererile vădit nefondate sau excesive pot fi taxate cu un onorariu rezonabil sau refuzate motivat, conform art. 12 alin. (5) GDPR.

11. Plângere la autoritatea de supraveghere

Dacă apreciați că prelucrarea datelor încalcă drepturile dumneavoastră, puteți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP):

Adresă: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod poștal 010336, București
Telefon: +40.318.059.211 / +40.318.059.212
E-mail: anspdcp@dataprotection.ro
Web: www.dataprotection.ro

Aveți de asemenea dreptul la o cale de atac judiciară eficientă împotriva unei decizii a autorității sau împotriva operatorului, conform art. 78–79 GDPR.

12. Datele minorilor

Site-ul nu este destinat copiilor sub 16 ani și nu colectează în mod intenționat date personale de la aceștia. Conform art. 8 GDPR și art. 8 din Legea 190/2018, vârsta consimțământului pentru servicii ale societății informaționale în România este de 16 ani.

Numele copiilor pot fi înscrise la pomenire de către părinți sau alți membri ai familiei, în temeiul cadrului religios descris la secțiunea 5. Dacă identificați date ale copiilor dumneavoastră prelucrate fără temei, ne puteți contacta la gdpr@marturieathonita.ro pentru ștergere.

13. Securitatea datelor (art. 32 GDPR)

Implementăm măsuri tehnice și organizatorice rezonabile pentru protejarea datelor împotriva accesului neautorizat, alterării, divulgării sau distrugerii:

conexiuni TLS 1.3 pentru toate paginile și API-urile;
validare strictă a inputurilor pe partea de server (lungimi, formate, sanitizare HTML);
limitare de rată pe formularul de pomelnic (3 trimiteri/min și 10/oră pe IP, 3/oră pe e-mail) și pe formularul de contact;
câmpuri „honeypot” anti-bot, fără să folosim CAPTCHA-uri care urmăresc utilizatorul;
segregarea mediilor de staging și producție;
principiul „cel mai mic privilegiu” pentru secretele de aplicație, gestionate prin Cloudflare Workers Secrets;
jurnalizare minimală și fără date de identificare personală în jurnalele aplicației.

14. Notificarea încălcărilor de securitate (art. 33–34 GDPR)

În cazul unei încălcări a securității datelor cu caracter personal, vom notifica ANSPDCP în 72 de ore de la luarea la cunoștință, conform art. 33 GDPR. Dacă încălcarea poate genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, le vom notifica și pe acestea, direct, conform art. 34 GDPR.

15. Decizii automate și profilare

Nu folosim decizii bazate exclusiv pe prelucrare automată care să producă efecte juridice sau să afecteze în mod similar persoana vizată. Nu facem profilare a utilizatorilor. Nu folosim tehnici de fingerprinting, retargeting sau publicitate comportamentală.

16. Modificări ale politicii

Această politică poate fi actualizată pentru a reflecta evoluția cadrului legal sau a serviciilor oferite. Versiunea curentă și data ultimei actualizări sunt afișate în antetul acestei pagini. Modificările substanțiale vor fi anunțate pe pagina principală a site-ului pentru cel puțin 14 zile înainte de intrarea în vigoare.

17. Date de contact

CHILIA BUNA VESTIRE — SCHITUL LACU — SFÂNTUL MUNTE ATHOS
Sediu: București, Sector 4
CIF: RO14407358 · R.C./Aut.: 125A/PJ/2001
E-mail GDPR: gdpr@marturieathonita.ro
E-mail general: athos@marturieathonita.ro
Telefon: +30 23770 23636

Versiunea 1.0 · Data intrării în vigoare: 19 mai 2026