Os seus dados, tratados com o mesmo cuidado que damos ao seu dinheiro.

A Paybyrd.com — que inclui a Paybyrd B.V. e todas as sociedades afiliadas (em conjunto, "Paybyrd", "nós" ou "nossa") — respeita a sua privacidade e está empenhada em proteger os seus dados pessoais.

A presente política rege o tratamento da informação pessoal nas plataformas e serviços da Paybyrd. A Paybyrd B.V. atua como responsável pelo tratamento dos dados e tem sede nos Países Baixos. Consoante o contexto, atuamos como responsável pelo tratamento ou como subcontratante.

A Paybyrd B.V. está registada nos Países Baixos sob o número 76168573, com sede social em Parnassusweg 819, 1082 LZ Amesterdão, Países Baixos.

Encarregado de Proteção de Dados

• Correio eletrónico: dpo@paybyrd.com (disponível em inglês, francês e espanhol)
• Correio postal: Data Protection Officer, Paybyrd B.V., Parnassusweg 819, 1082 LZ Amesterdão, Países Baixos

Tem o direito de apresentar reclamação junto da autoridade de controlo competente, mas agradecemos que nos permita tratar da sua questão em primeiro lugar. Por favor contacte-nos antes de apresentar reclamação.

Com base na utilização do nosso website

• Nome completo, endereço de correio eletrónico, número de telefone, URL do website
• Informação do navegador, endereço IP, duração da visita, páginas visualizadas
• Dados de cookies e registos de servidor

Com base na utilização dos nossos serviços

Utilizadores de ambiente de teste (Sandbox): nome, correio eletrónico e informação do website.

Comerciantes: nome completo, correio eletrónico, data de nascimento, morada, comprovativo de morada, cópia de documento de identificação ou passaporte e documentação relativa a compliance.

Processamento de pagamentos: morada de faturação, morada de entrega, data de nascimento, valor da compra, data da compra, método de pagamento, número de cartão de crédito ou débito e informação bancária.

Dados de compliance: informação obtida junto de agências de referência de crédito, serviços de prevenção de fraude e listas governamentais de sanções.

Aviso relativo ao Sandbox Hub

O nosso Sandbox Hub destina-se a ser utilizado como ambiente de teste. Não está previsto recolher, armazenar ou tratar dados pessoais durante a sua utilização.

Categorias de cookies utilizadas

• Necessários — essenciais ao funcionamento do website
• Preferências — memorizam definições de idioma e região
• Estatísticos — dados anónimos sobre a forma como os visitantes interagem com o site
• Marketing — acompanham visitantes entre sites para apresentar publicidade relevante
• Não classificados — cookies em processo de classificação

Gestão de cookies

Pode gerir as suas preferências através da nossa ferramenta de consentimento, eliminar cookies através das definições do navegador, ou consultar allaboutcookies.org para orientação adicional. Pode desativar totalmente os cookies ou retirar o consentimento a qualquer momento através do navegador.

Redes publicitárias de terceiros

Utilizamos remarketing do Google AdWords e o Pixel do Facebook. Fornecedores terceiros, incluindo Google e Facebook, utilizam cookies para lhe apresentar anúncios com base nas suas visitas ao nosso website.

Fundamentos jurídicos do tratamento

• Execução do contrato com comerciantes
• Interesses legítimos de negócio
• Cumprimento de obrigações legais e regulamentares
• Melhoria e análise dos produtos

Finalidades

• Deteção e prevenção de fraude
• Processamento de pagamentos e apoio ao cliente
• Verificação de identidade e cumprimento KYC/AML
• Autenticação de conta
• Comunicações de marketing
• Análise e inteligência de negócio
• Melhoria e desenvolvimento do serviço
• Administração do website e resolução de incidentes

Os comerciantes são responsáveis por assegurar o tratamento dos dados pessoais dos seus clientes em conformidade com a legislação de privacidade aplicável. O comerciante deve cumprir as leis de proteção de dados do seu país de origem e dos países onde disponibiliza produtos ou serviços.

Quando aplicável, o comerciante deve igualmente cumprir as Mastercard Binding Corporate Rules. Quando atuamos como subcontratante em nome do comerciante, seguimos as suas instruções documentadas ao abrigo de um contrato escrito de tratamento de dados.

Podemos partilhar os seus dados pessoais com as seguintes categorias de destinatários:

• Afiliadas — sociedades do grupo Paybyrd, para prestação dos serviços
• Parceiros comerciais — card schemes, prestadores de serviços de pagamento, adquirentes e prestadores de serviços a comerciantes
• Prestadores de serviços — serviços de cloud, alojamento, análise, infraestrutura de TI e apoio ao cliente
• Redes publicitárias — Google AdWords e Facebook, para fins de remarketing
• Entidades legais e de segurança — autoridades policiais, entidades de prevenção de fraude e reguladores

Não autorizamos os nossos prestadores terceiros a utilizar os seus dados pessoais para finalidades próprias. Todos os terceiros devem cumprir a regulamentação de proteção de dados e implementar medidas de segurança adequadas.

Preferencialmente, os seus dados são armazenados e tratados em centros de dados localizados no Espaço Económico Europeu (EEE). Transferências para fora do EEE apenas ocorrem com garantias adequadas e ao abrigo de acordos escritos em conformidade com a legislação europeia de proteção de dados.

Podem ocorrer transferências quando o utilizador realiza transações com comerciantes fora do EEE, quando utiliza métodos de pagamento de fora do EEE ou quando utiliza divisas de fora do EEE.

A Paybyrd tomará todas as medidas legais, técnicas e organizacionais razoáveis para assegurar que, quando transferidos para fora do EEE, os dados sejam tratados de forma segura.

Somos certificados PCI DSS (Payment Card Industry Data Security Standard) Nível 1, o nível mais elevado estabelecido pela indústria de cartões de pagamento.

O acesso aos seus dados pessoais está restrito a colaboradores e terceiros com efetiva necessidade de conhecer, vinculados a deveres de confidencialidade. Dispomos de procedimentos para tratar suspeitas de violação de dados e notificaremos o titular e a autoridade competente nos casos em que a lei o exija.

Compromisso de notificação de violações. Nos termos do artigo 33.º do RGPD, sempre que uma violação de dados pessoais seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares, a Paybyrd notificará a autoridade de controlo competente sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento da violação. Nos termos do artigo 34.º do RGPD, sempre que a violação seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares afetados, a Paybyrd comunicará a violação aos referidos titulares sem demora injustificada, em linguagem clara e simples, acompanhada das informações exigidas pelo artigo 34.º, n.º 2. Os comerciantes que atuem como responsáveis pelo tratamento serão informados em paralelo, para que possam cumprir os seus próprios deveres de notificação.

Sempre que a Paybyrd trata dados pessoais por conta de um comerciante (atuando como subcontratante na aceção do artigo 28.º do RGPD), poderá recorrer a subcontratantes cuidadosamente selecionados para a prestação do serviço. Entende-se por subcontratante o terceiro contratado pela Paybyrd que trata dados pessoais de acordo com as nossas instruções documentadas, ao abrigo de contrato escrito que contém obrigações de proteção de dados pelo menos equivalentes às que vinculam a Paybyrd perante o responsável pelo tratamento.

As nossas principais categorias de subcontratantes são:

• Microsoft Azure (UE, West Europe — Amesterdão) — infraestrutura de cloud de produção, armazenamento de objetos, alojamento de bases de dados e gestão de chaves através do Azure Key Vault.
• Cloudflare (global, com controlos de residência de dados na UE) — proteção contra DDoS, firewall aplicacional e rede de distribuição de conteúdos à frente dos nossos pontos de acesso públicos.
• Datadog (região UE) — observabilidade, métricas, agregação de registos e correlação SIEM para monitorização operacional e de segurança.
• Google Workspace (residência UE para correio eletrónico) — colaboração interna, correio eletrónico e produção de documentos. Não são processados dados de titular de cartão de produção neste ambiente.
• As Instituições Financeiras identificadas na secção J.15 dos nossos Termos e Condições — adquirentes licenciados, participantes de esquemas e bancos de liquidação que executam o processamento de pagamentos, aquisição e liquidação de esquemas de cartões na nossa rede.

Uma lista atualizada dos subcontratantes encontra-se disponível, a pedido, através de dpo@paybyrd.com. A Paybyrd dará aos comerciantes que atuem como responsáveis pelo tratamento um pré-aviso mínimo de 30 dias relativamente a qualquer adição ou substituição pretendida de um subcontratante material. O comerciante tem o direito de deduzir oposição fundamentada a qualquer alteração; não sendo possível resolver a oposição, o comerciante poderá fazer cessar o serviço afetado nos termos do Contrato de Comerciante.

Os seus dados pessoais são conservados apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram recolhidos. Prazos indicativos:

• Dados de identificação e contacto (comerciantes) — 5 anos após a cessação do contrato ou último contacto, para execução contratual e obrigações regulamentares
• Dados técnicos e de utilização — 3 anos (potenciais clientes); 5 anos (clientes) após cessação
• Dados de identificação, contacto e técnicos — 5 anos após cessação, para administração e proteção do negócio
• Dados de cartão de crédito e transações — 5 anos a partir da data da transação ou do fim da relação de negócio, para processamento e obrigações AML/regulamentares

As contas encerradas mantêm os dados para cumprimento de obrigações legais. Os dados poderão ser anonimizados para utilização estatística sem aviso adicional. Deverá manter a sua informação atualizada.

Nos termos da legislação de proteção de dados, assistem-lhe os seguintes direitos:

• Acesso — obter cópia dos dados pessoais que detemos
• Retificação — solicitar a correção de dados inexatos ou incompletos
• Apagamento — solicitar a eliminação sempre que não exista motivo legítimo para continuar o tratamento
• Oposição — opor-se a tratamentos baseados em interesses legítimos ou em marketing direto
• Limitação — suspender o tratamento enquanto é verificada a exatidão ou fundamento jurídico
• Portabilidade — obter os dados pessoais em formato estruturado e legível por máquina
• Retirada do consentimento — revogar a autorização para finalidades específicas
• Revisão manual — contestar decisões automatizadas no processamento de transações

Para exercer qualquer destes direitos, deverá contactar dpo@paybyrd.com. A retirada do consentimento não afeta a licitude dos tratamentos realizados antes dessa retirada.

Reservamo-nos o direito de atualizar esta política de privacidade a qualquer momento, publicando a versão atualizada caso tal ocorra. As alterações poderão ser comunicadas através da publicação da política revista no nosso website ou por outros meios adequados.