BodyVault — Privacy Policy
Last updated: 5 June 2026
EN below — Česká verze následuje níže (Czech version below).
English
1. Who we are
BodyVault ("BodyVault", "we", "us") is a personal health data vault operated by Josef Strapáč, a natural person residing in the Czech Republic ("Data Controller"). You can contact us at josef.strapac@gmail.com.
This Privacy Policy explains how we collect, use, store, and protect your personal data when you use BodyVault at https://bodyvau.lt (the "Service").
2. What data we process
Depending on the features you use, we process:
- Account data: email address, authentication identifiers, and account settings.
- Health and wellness data imported from connected services (e.g. Oura): sleep, readiness, activity, heart rate, heart-rate variability, SpO2, body temperature, workouts, sessions, stress, tags, and ring configuration data.
- Documents you upload: health-related files and any data they contain.
- Technical data: IP address, device and browser information, and log data necessary to operate and secure the Service.
Health data constitutes a special category of personal data under Article 9 GDPR. We process it only on the basis of your explicit consent, which you may withdraw at any time.
3. Oura integration
If you connect your Oura account, we access your Oura data via the Oura API v2 using OAuth 2.0 authorization. We only request the scopes you approve, and we store the resulting access and refresh tokens securely to synchronize your data. You can revoke this access at any time in your Oura account settings or by disconnecting the integration in BodyVault. Revoking access stops future synchronization; previously imported data is handled per Section 7.
4. Why we process your data (legal bases)
- Explicit consent (Art. 6(1)(a) and Art. 9(2)(a) GDPR) — for processing health data and connecting third-party services.
- Performance of a contract (Art. 6(1)(b)) — to provide the Service you request.
- Legitimate interests (Art. 6(1)(f)) — to secure and maintain the Service.
5. How we use your data
We use your data to: provide and operate the Service, synchronize and display your health data, generate insights and summaries you request, and maintain security. We do not sell your personal data and do not use your health data for advertising.
6. Sharing and sub-processors
We share data only with service providers ("sub-processors") who help us run the Service, such as hosting, database, and storage providers (e.g. cloud infrastructure and object storage). These providers act on our instructions under data processing agreements. We may disclose data if required by law.
7. Data retention and deletion
We retain your data for as long as your account is active. You can request deletion of your data or your entire account at any time by contacting josef.strapac@gmail.com. Upon account deletion, we delete or irreversibly anonymize your personal and health data within 30 days, except where retention is required by law.
8. Data storage and international transfers
Your data is stored on infrastructure located in the Czech Republic (EU). Where any sub-processor transfers data outside the EEA, we ensure appropriate safeguards (e.g. Standard Contractual Clauses).
9. Security
We apply appropriate technical and organizational measures, including encryption in transit and at rest, access controls, and secure token storage. No method of transmission or storage is 100% secure, but we work to protect your data.
10. Your rights (GDPR)
You have the right to: access, rectification, erasure, restriction of processing, data portability, and objection. You may withdraw consent at any time without affecting prior processing. You also have the right to lodge a complaint with the Czech Data Protection Authority (Úřad pro ochranu osobních údajů, uoou.gov.cz). To exercise any right, contact josef.strapac@gmail.com.
11. Children
The Service is not intended for persons under 16. We do not knowingly process data of children.
12. Changes
We may update this Policy. Material changes will be communicated via the Service or by email. Continued use after changes constitutes acceptance.
13. Contact
Josef Strapáč — josef.strapac@gmail.com — https://bodyvau.lt
Česky
1. Kdo jsme
BodyVault ("BodyVault", "my") je osobní trezor zdravotních dat provozovaný Josefem Strapáč, fyzickou osobou s bydlištěm v České republice ("správce"). Kontaktovat nás můžete na josef.strapac@gmail.com.
Tyto zásady popisují, jak shromažďujeme, používáme, ukládáme a chráníme vaše osobní údaje při používání služby BodyVault na adrese https://bodyvau.lt ("služba").
2. Jaké údaje zpracováváme
Podle využívaných funkcí zpracováváme:
- Údaje o účtu: e-mailovou adresu, přihlašovací identifikátory a nastavení účtu.
- Zdravotní a wellness data z propojených služeb (např. Oura): spánek, připravenost (readiness), aktivitu, srdeční tep, variabilitu srdečního tepu, SpO2, tělesnou teplotu, tréninky, session, stres, tagy a konfiguraci prstenu.
- Dokumenty, které nahrajete: zdravotní soubory a údaje v nich obsažené.
- Technické údaje: IP adresu, informace o zařízení a prohlížeči a logy nezbytné pro provoz a zabezpečení služby.
Zdravotní data představují zvláštní kategorii osobních údajů dle čl. 9 GDPR. Zpracováváme je výhradně na základě vašeho výslovného souhlasu, který můžete kdykoli odvolat.
3. Integrace Oura
Pokud propojíte svůj účet Oura, přistupujeme k vašim datům přes Oura API v2 pomocí autorizace OAuth 2.0. Vyžádáme si pouze vámi schválené oprávnění (scopes) a vzniklé přístupové a obnovovací tokeny bezpečně ukládáme pro synchronizaci dat. Přístup můžete kdykoli odvolat v nastavení účtu Oura nebo odpojením integrace v BodyVault. Odvolání ukončí budoucí synchronizaci; dříve importovaná data se řídí čl. 7.
4. Proč údaje zpracováváme (právní základy)
- Výslovný souhlas (čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) GDPR) — pro zpracování zdravotních dat a propojení služeb třetích stran.
- Plnění smlouvy (čl. 6 odst. 1 písm. b)) — pro poskytování požadované služby.
- Oprávněné zájmy (čl. 6 odst. 1 písm. f)) — pro zabezpečení a údržbu služby.
5. Jak údaje používáme
Údaje používáme k poskytování a provozu služby, synchronizaci a zobrazení vašich zdravotních dat, generování vámi vyžádaných přehledů a zachování bezpečnosti. Vaše osobní údaje neprodáváme a zdravotní data nepoužíváme k reklamě.
6. Sdílení a zpracovatelé
Údaje sdílíme pouze s poskytovateli služeb ("zpracovateli"), kteří nám pomáhají službu provozovat (hosting, databáze, úložiště — např. cloudová infrastruktura a objektové úložiště). Tito poskytovatelé jednají dle našich pokynů na základě zpracovatelských smluv. Údaje můžeme zpřístupnit, pokud to vyžaduje zákon.
7. Uchovávání a výmaz dat
Údaje uchováváme po dobu aktivního účtu. Výmaz dat nebo celého účtu můžete kdykoli vyžádat na josef.strapac@gmail.com. Po zrušení účtu vaše osobní a zdravotní data vymažeme nebo nevratně anonymizujeme do 30 dnů, s výjimkou případů, kdy uchování vyžaduje zákon.
8. Ukládání dat a mezinárodní přenosy
Vaše data jsou uložena na infrastruktuře v České republice (EU). Pokud kterýkoli zpracovatel přenáší data mimo EHP, zajišťujeme odpovídající záruky (např. standardní smluvní doložky).
9. Zabezpečení
Uplatňujeme odpovídající technická a organizační opatření, včetně šifrování při přenosu i v klidu, řízení přístupu a bezpečného uložení tokenů. Žádná metoda přenosu ani uložení není stoprocentně bezpečná, ale usilujeme o ochranu vašich dat.
10. Vaše práva (GDPR)
Máte právo na: přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů a vznesení námitky. Souhlas můžete kdykoli odvolat, aniž by to ovlivnilo předchozí zpracování. Máte rovněž právo podat stížnost u Úřadu pro ochranu osobních údajů (uoou.gov.cz). Pro uplatnění práv kontaktujte josef.strapac@gmail.com.
11. Děti
Služba není určena osobám mladším 16 let. Vědomě nezpracováváme údaje dětí.
12. Změny
Tyto zásady můžeme aktualizovat. O podstatných změnách budeme informovat ve službě nebo e-mailem. Pokračováním v užívání po změnách vyjadřujete souhlas.
13. Kontakt
Josef Strapáč — josef.strapac@gmail.com — https://bodyvau.lt