Zásady ochrany osobních údajů EVERVOICE

Tyto zásady vysvětlují, jak EVERVOICE zpracovává osobní údaje při používání webu, aplikace a souvisejících služeb. Popisují zejména práci s účtem, hlasovými nahrávkami, vzpomínkami, AI avatarem, pozvánkami blízkých osob, chaty, platbami, technickými údaji a zákaznickou podporou.

EVERVOICE je citlivá služba, protože může pracovat s hlasem, osobními příběhy, rodinnými vzpomínkami a obsahem, který uživatelé svěřují jen vybraným osobám. Proto zde najdete přehled toho, jaké údaje zpracováváme, proč je potřebujeme, komu je můžeme zpřístupnit, jak dlouho je uchováváme, jak je chráníme a jaká práva můžete uplatnit.

Účinné od: 1.7.2026

Verze: 1.0

Správce: Evervoice s.r.o., IČO: 29541573, sídlem Wolkerova 247/10, 787 01 Šumperk, Česká republika,

zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě pod sp. zn. C 103874

E-mail: info@evervoice.app

Dat. schránka: yhap27r

Pověřenec pro ochranu osobních údajů: nebyl jmenován

Preambule

Tyto zásady vysvětlují, jak zpracováváme osobní údaje v aplikaci EVERVOICE. EVERVOICE umožňuje uživateli založit profil, nahrávat vlastní hlasové nahrávky, vzpomínky, zážitky a další informace a vytvořit z nich AI avatara. Uživatel může následně pozvat třetí osobu, která s avatarem komunikuje; avatar má používat hlas uživatele a odpovídat pouze z uživatelem poskytnutých informací, vzpomínek, nahrávek a přepisů.

Osobním údajem je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě a zpracováním je mimo jiné shromažďování, uložení, použití, zpřístupnění i výmaz údajů (Článek 4 – Definice). Při zpracování dodržujeme zásady zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace, přesnosti, omezení uložení, integrity, důvěrnosti a odpovědnosti správce (Článek 5 - Zásady zpracování osobních údajů).

1. Proč je EVERVOICE z pohledu soukromí citlivá služba

  1. EVERVOICE pracuje s hlasem, vzpomínkami, životními příběhy a komunikací s AI avatarem. Hlasové nahrávky a hlasové otisky/modely mohou být biometrickými údaji, pokud vznikají zvláštním technickým zpracováním hlasových nebo jiných charakteristik a umožňují nebo potvrzují jedinečnou identifikaci osoby (Článek 4 – Definice). Biometrické údaje zpracovávané za účelem jedinečné identifikace osoby patří mezi zvláštní kategorie údajů; jejich zpracování je zásadně zakázáno, pokud se neuplatní některá výjimka, typicky výslovný souhlas subjektu údajů (Článek 9 - Zpracování zvláštních kategorií osobních údajů).
  2. Osoby komunikující s avatarem musí být jasně informovány, že komunikují se systémem AI. Pokud služba vytváří syntetický nebo manipulovaný hlasový výstup, musí být tento charakter zřejmý (Článek 50 - Povinnosti poskytovatelů zavádějící subjektů určitých systémů AI, pokud jde o transparentnost).

2. Kdo je správce a na koho se zásady vztahují

  1. Správcem osobních údajů je Evervoice s.r.o., který určuje účely a prostředky zpracování. Tyto zásady se vztahují zejména na:
    • registrované uživatele EVERVOICE;
    • pozvané osoby, které komunikují s avatarem;
    • osoby, jejichž údaje se objeví ve vzpomínkách, nahrávkách, přepisech, chatech nebo podpůrné komunikaci;
    • návštěvníky webu nebo aplikace;
    • osoby komunikující se zákaznickou podporou.
  2. Pokud získáváme údaje přímo od subjektu údajů, poskytujeme informace zejména o totožnosti správce, účelech, právních základech, příjemcích, době uložení, právech subjektu údajů, možnosti odvolat souhlas a možnosti podat stížnost u dozorového úřadu (Článek 13 - Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů).

3. Jaké údaje zpracováváme

  1. Zpracováváme zejména tyto kategorie údajů:
    • Účet a profil uživatele — jméno nebo přezdívka, e-mail, hash hesla, nastavení účtu, jazyk, tarif, datum registrace, stav účtu.
    • Hlas a avatar — hlasové nahrávky, hlasový otisk nebo embedding, syntetický hlasový model, přepis nahrávek, metadata nahrávek, datum nahrání, kvalita nahrávky.
    • Vzpomínky a uživatelský obsah — hlasové nebo jiné informace o životních událostech, osobách, místech, preferencích, vztazích, zážitcích a názorech, které uživatel do EVERVOICE vloží.
    • Pozvané osoby — e-mail nebo telefonní číslo pozvané osoby, stav pozvánky, oprávnění k přístupu, čas přístupu, případně identifikátor relace.
    • Chaty s avatarem — dotazy pozvané osoby, odpovědi avatara, technická metadata, zpětná vazba, případné hlášení závad nebo závadného výstupu.
    • Při úhradě objednávky zpracováváme údaje nezbytné pro evidenci objednávky, její zaplacení, splnění smlouvy, účetní evidenci a případné řešení reklamací, refundací nebo sporů. Jedná se zejména o identifikaci objednávky, částku, měnu, stav platby, zvolenou platební metodu, čas platby a technické identifikátory transakce.
    • Online platby zpracovává poskytovatel platební infrastruktury Stripe. Úplné údaje o platební kartě nejsou ukládány v systému EVERVOICE. Stripe může v souvislosti s platbou zpracovávat transakční údaje, údaje zadané v platebním formuláři, technické údaje a údaje potřebné pro prevenci podvodů, zabezpečení plateb, ověření platby a splnění právních povinností.
    • V rozsahu, v jakém Stripe zpracovává osobní údaje jako zpracovatel, činí tak podle našich pokynů a příslušné smluvní dokumentace. V některých případech může Stripe zpracovávat vybrané osobní údaje také jako samostatný správce, zejména pro účely bezpečnosti, prevence podvodů, splnění právních povinností a provozu vlastních platebních služeb.
    • Technické a bezpečnostní údaje — IP adresa, identifikátory zařízení, logy, chybová hlášení, pokusy o zneužití, auditní záznamy souhlasů a změn nastavení.
    • Marketing a komunikace** — souhlasy, preference, odhlášení, servisní e-maily, komunikace se zákaznickou podporou.

4. Účely a právní základy zpracování

  1. Založení a vedení účtu: Údaje zpracováváme za účelem registrace, přihlášení, správy účtu, nastavení tarifu, poskytování zákaznické podpory a plnění smlouvy. GDPR umožňuje zpracování, které je nezbytné pro splnění smlouvy se subjektem údajů nebo pro kroky před jejím uzavřením (Článek 6 - Zákonnost zpracování).
  2. Vytvoření a provoz avatara: Hlasové nahrávky, přepisy, vzpomínky, obsah profilu a chatové dotazy zpracováváme za účelem vytvoření a provozu hlasového avatara. Pokud zpracování hlasu naplňuje režim biometrických údajů pro jedinečnou identifikaci, vyžádáme si samostatný výslovný souhlas podle čl. 9 GDPR (Článek 9 - Zpracování zvláštních kategorií osobních údajů). Souhlas musí být prokazatelný, srozumitelný a odvolatelný; odvolání nesmí ovlivnit zákonnost zpracování provedeného před odvoláním (Článek 7 - Podmínky vyjádření souhlasu).
  3. Pozvánky třetím osobám: Kontaktní údaj pozvané osoby zpracováváme za účelem doručení pozvánky, řízení přístupu a bezpečnosti relace. Pozvaná osoba musí před zahájením chatu dostat informaci, že komunikuje s AI avatarem a že hlasový výstup může být syntetický nebo manipulovaný (Článek 50 - Povinnosti poskytovatelů zavádějící subjektů určitých systémů AI, pokud jde o transparentnost).
  4. Bezpečnost, prevence zneužití a audit: Technické logy, audit souhlasů, informace o přístupech, incidenty a bezpečnostní záznamy zpracováváme z důvodu ochrany účtů, prevence neoprávněného klonování hlasu, prevence podvodů a vymáhání podmínek. Právním základem je zejména oprávněný zájem na bezpečném provozu a ochraně práv, případně právní povinnost; čl. 6 GDPR připouští zpracování pro splnění právní povinnosti i zpracování nezbytné pro oprávněné zájmy, nejsou-li převáženy právy subjektu údajů (Článek 6 - Zákonnost zpracování).
  5. Účetnictví, daně a fakturace: Faktury a daňové doklady uchováváme pro plnění právních povinností. Účetní závěrka a výroční zpráva se uchovávají deset let a účetní doklady, účetní knihy a další účetní záznamy zpravidla pět let od konce účetního období. Daňové doklady k DPH se uchovávají deset let od konce zdaňovacího období, ve kterém se plnění uskutečnilo.
  6. Marketing: Marketingové zprávy zasíláme pouze při existenci příslušného právního titulu. Pokud je marketing založen na souhlasu, lze souhlas kdykoli odvolat (Článek 7 - Podmínky vyjádření souhlasu). Proti zpracování pro účely přímého marketingu lze vznést námitku podle čl. 21 GDPR 29.

5. Pravidla pro nahrávky, vzpomínky a údaje třetích osob

  1. Aplikace je nastavena tak, aby ve výchozím stavu zpracovávala pouze údaje nezbytné pro daný účel a aby byla ochrana údajů zabudována do návrhu služby (Článek 25 - Záměrná a standardní ochrana osobních údajů). Provozovatel si vyhrazuje právo odstranit nebo omezit obsah, pokud má důvodné podezření na neoprávněné klonování hlasu, zásah do práv třetích osob, nezákonný obsah nebo bezpečnostní riziko.

6. Výstupy avatara a automatizované rozhodování

  1. EVERVOICE neprovádí rozhodnutí založená výhradně na automatizovaném zpracování, která by měla právní nebo obdobně významné účinky vůči uživateli nebo pozvané osobě. Pokud by taková funkce byla v budoucnu zavedena, uplatní se zvláštní pravidla čl. 22 GDPR (Článek 22 - Automatizované individuální rozhodování, včetně profilování).

7. Příjemci, zpracovatelé a subdodavatelé

  1. Osobní údaje zpřístupňujeme pouze osobám, které je potřebují pro uvedené účely. Typicky půjde o poskytovatele hostingu, cloudového úložiště, AI infrastruktury, hlasové syntézy, transkripce, vektorové databáze, e-mailových a notifikačních služeb, platebních bran, zákaznické podpory, analytiky, bezpečnostních služeb, účetnictví, právních služeb a orgány veřejné moci, pokud to vyžaduje právo.
  2. Se zpracovateli uzavíráme smlouvu o zpracování osobních údajů. Zpracovatel musí poskytovat dostatečné záruky, zpracovávat údaje jen podle pokynů správce, zajistit mlčenlivost, bezpečnost, pravidla pro subzpracovatele, pomoc při plnění práv subjektů údajů a po skončení služby údaje vrátit nebo vymazat (Článek 28 – Zpracovatel). Správce vede záznamy o činnostech zpracování v rozsahu zahrnujícím mimo jiné účely, kategorie subjektů a údajů, příjemce, předávání, lhůty výmazu a bezpečnostní opatření.
  3. Konkrétní veřejný seznam zpracovatelů je přiložen níže.

 

KategorieKonkrétní zpracovatel / služba
Cloud hosting / databáze / object storage / CDNActive24
Platební brána a billingStripe
E-mailové notifikace a pozvánkyActive24
AI inference / LLM / orchestrated chatOpenAI - Responses API
Transkripce řeči na textOpenAI - Transcriptions API
Vektorová databáze / vyhledávání ve vzpomínkáchOpenAI - Vector Store + File Search
Hlasová syntéza / voice cloningElevenLabs - custom voice + text-to-speech


 

8. Předávání mimo Evropský hospodářský prostor

  1. Pokud budou údaje předávány mimo Evropský hospodářský prostor, učiníme tak pouze podle kapitoly                    V GDPR tak, aby nebyla ohrožena úroveň ochrany zaručená GDPR (Článek 44 - Obecná zásada pro předávání). Není-li k dispozici rozhodnutí o odpovídající ochraně, musí být použity vhodné záruky, například standardní smluvní doložky, a další potřebná technická a organizační opatření.

9. Jak dlouho údaje uchováváme

  1. Údaje uchováváme pouze po dobu nezbytnou pro účely, pro které jsou zpracovávány. Zásada omezení uložení vyžaduje, aby osobní údaje nebyly drženy déle, než je nezbytné (Článek 5 - Zásady zpracování osobních údajů). Subjekt údajů může za podmínek čl. 17 GDPR požadovat výmaz, například pokud údaje již nejsou potřebné, odvolal souhlas a neexistuje jiný právní základ, nebo byly údaje zpracovány protiprávně (Článek 17 - Právo na výmaz („právo být zapomenut“)).
  2. Základní retenční logika EVERVOICE je tato: hlasové nahrávky, hlasové modely a vzpomínky se drží po dobu aktivního účtu nebo do odvolání souhlasu; chaty se drží pouze po dobu potřebnou k poskytnutí služby, bezpečnosti a řešení sporů; účetní a daňové doklady se drží podle zákonných lhůt. Obecná promlčecí lhůta podle občanského zákoníku činí tři roky a majetkové právo se promlčí nejpozději za deset let, nestanoví-li zákon jinak (§ 629 NOZ). Daňová lhůta pro stanovení daně činí zásadně tři roky a může se prodlužovat nebo stavět, nejpozději však zpravidla skončí po deseti letech.

10. Práva subjektů údajů

  1. Subjekt údajů může uplatnit zejména tato práva:
    • právo na transparentní informace a vyřízení žádosti zpravidla do jednoho měsíce (Článek 12 - Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů);
    • právo na přístup k osobním údajům (Článek 15 - Právo subjektu údajů na přístup k osobním údajům);
    • právo na opravu nepřesných údajů;
    • právo na výmaz (Článek 17 - Právo na výmaz („právo být zapomenut“));
    • právo na omezení zpracování (Článek 18 - Právo na omezení zpracování);
    • právo na přenositelnost údajů (Článek 20 - Právo na přenositelnost údajů);
    • právo vznést námitku proti zpracování založenému na oprávněném zájmu a proti přímému marketingu;
    • právo nebýt předmětem určitých rozhodnutí založených výhradně na automatizovaném zpracování (Článek 22 - Automatizované individuální rozhodování, včetně profilování);
    • právo kdykoli odvolat souhlas (Článek 7 - Podmínky vyjádření souhlasu).
  2. Žádosti vyřizujeme na e-mailové adrese info@evervoice.app. Pokud máme důvodné pochybnosti o totožnosti žadatele, můžeme požádat o další informace nezbytné k potvrzení totožnosti Článek 12 - Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů). Subjekt údajů má také právo podat stížnost u Úřadu pro ochranu osobních údajů.

11. Bezpečnost a incidenty

  1. Používáme přiměřená technická a organizační opatření, zejména řízení přístupů, šifrování při přenosu a podle povahy dat i v úložištích, oddělení produkčního a testovacího prostředí, logování, pravidelné zálohy, školení oprávněných osob, kontrolu zpracovatelů a postupy pro mazání údajů.
  2. GDPR vyžaduje zabezpečení odpovídající riziku, včetně schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a obnovit dostupnost údajů po incidentu (Článek 32 - Zabezpečení zpracování). Porušení zabezpečení osobních údajů oznamujeme dozorovému úřadu bez zbytečného odkladu, pokud možno do 72 hodin, pokud je pravděpodobné riziko pro práva a svobody fyzických osob (Článek 33 - Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu). Pokud je pravděpodobné vysoké riziko pro subjekty údajů, oznámíme porušení také dotčeným osobám, ledaže je splněna některá výjimka podle čl. 34 GDPR (Článek 34 - Oznamování případů porušení zabezpečení osobních údajů subjektu údajů).

12. Posouzení vlivu a interní dokumentace

  1. S ohledem na hlasové nahrávky, možné biometrické modely, AI funkce, práci se vzpomínkami a možné dopady na třetí osoby bylo před spuštěním provedeno posouzení vlivu na ochranu osobních údajů. GDPR vyžaduje posouzení vlivu tam, kde druh zpracování, zejména s využitím nových technologií, pravděpodobně povede k vysokému riziku; výslovně zmiňuje mimo jiné rozsáhlé zpracování zvláštních kategorií údajů a systematické hodnocení osob založené na automatizovaném zpracování (Článek 35 - Posouzení vlivu na ochranu osobních údajů).
  2. Součástí interní dokumentace jsou zejména záznamy o činnostech zpracování, retenční politika, test oprávněného zájmu pro bezpečnostní a antifraud zpracování, souhlasové logy, DPIA, smlouvy se zpracovateli, evidence subzpracovatelů a incident response plán. Záznamy o činnostech zpracování obsahují mimo jiné účely, kategorie subjektů a údajů, příjemce, předávání, lhůty výmazu a bezpečnostní opatření.

13. Věk uživatele

  1. EVERVOICE není určen dětem mladším 18 let. Pokud by byla služba informační společnosti nabízena přímo dítěti a právním základem byl souhlas, GDPR vyžaduje splnění zvláštních pravidel pro souhlas dítěte a případné ověření souhlasu nositele rodičovské odpovědnosti (Článek 8 - Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti).

14. Cookies, analytika a SDK

  1. Nezbytné cookies a technické identifikátory používáme k provozu služby, přihlášení, bezpečnosti a nastavení účtu. Analytické, marketingové nebo obdobné SDK používáme jen v souladu s příslušným právním titulem a jejich rozsah musí respektovat zásadu minimalizace údajů (Článek 5 - Zásady zpracování osobních údajů).

15. Změny zásad

  1. Zásady můžeme měnit, zejména při změně funkcí aplikace, dodavatelů, právních požadavků nebo retenčních lhůt. Pokud by změna vyžadovala nový souhlas, vyžádáme si jej před zahájením daného zpracování. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný a jeho odvolání musí být stejně snadné jako udělení (Článek 7 - Podmínky vyjádření souhlasu).