POLÍTICA DE PROTEÇÃO DE DADOS

Última atualização: Maio de 2026

Leia com atenção. A presente Política de Proteção de Dados Pessoais faz parte integrante dos Termos e Condições de Utilização da Aplicação Móvel Paynest ("T&C") e deve ser lida em conjunto com eles.

1. Identificação e Contactos

A entidade que disponibiliza e opera a Plataforma e a Aplicação Móvel Paynest é:

PAYNEST PORTUGAL UNIPESSOAL LDA
NIPC: 516 961 390
Sede: Av. Duque de Loulé, 12, 1050-093 Lisboa, Portugal
Representante Legal: Nuno Pereira (Sócio-Gerente)

(doravante "Paynest" ou "nós")

Para questões relativas à proteção de dados pessoais, pode contactar-nos através dos seguintes canais:

- Correio eletrónico (privacidade e exercício de direitos RGPD): privacy@paynest.co
- Correio eletrónico (assuntos jurídicos e contratuais): legal@paynest.co
- Suporte técnico e operacional: support@paynest.co
- Correio postal: Paynest Portugal Unipessoal Lda — Av. Duque de Loulé, 12, 1050-093 Lisboa, Portugal

A Paynest não está legalmente obrigada a designar um Encarregado de Proteção de Dados (DPO) ao abrigo do Art. 37.º do RGPD. Contudo, designou um responsável interno pela supervisão do cumprimento em matéria de proteção de dados, contactável através de privacy@paynest.co.

‍

2.2 Âmbito e Aplicação

1. A presente Política de Proteção de Dados Pessoais ("Política de Privacidade") aplica-se ao tratamento de dados pessoais realizado pela Paynest no contexto da disponibilização e operação da Plataforma e da Aplicação Móvel Paynest, destinadas à gestão de benefícios de trabalhadores, incluindo os módulos de Acesso ao Salário Auferido (EWA), pagamento de bónus e comissões, gestão de despesas, plafonds e coaching financeiro.
2. Esta Política aplica-se a todos os utilizadores da Plataforma — trabalhadores e representantes de entidades patronais —, bem como a qualquer pessoa cujos dados sejam tratados pela Paynest no contexto dos serviços prestados.
3. A Paynest atua predominantemente como Subcontratante (Art. 4.º, n.º 8 RGPD) dos seus clientes empresariais (entidades patronais), que são os Responsáveis pelo Tratamento dos dados pessoais dos seus trabalhadores. A Paynest recebe esses dados das entidades patronais ou diretamente dos trabalhadores por instrução dessas entidades, trata-os exclusivamente para as finalidades definidas pelas entidades patronais e, no fim da relação contratual, devolve-os e elimina-os integralmente. Os termos desse tratamento são definidos no Acordo de Tratamento de Dados (DPA) celebrado entre a Paynest e cada entidade patronal.
   
   - Como Responsável pelo Tratamento (Art. 4.º, n.º 7 RGPD), mas apenas de forma limitada e residual: a Paynest determina os meios técnicos da Plataforma — nomeadamente a arquitetura de recolha de dados, os mecanismos de autenticação e segurança, e a estrutura dos formulários de registo. Este papel técnico não altera o facto de as finalidades do tratamento dos dados dos trabalhadores serem sempre determinadas pela entidade patronal.
   - Como Subcontratante (Art. 4.º, n.º 8 RGPD), que é o seu papel principal e predominante: a Paynest trata todos os dados pessoais dos trabalhadores — incluindo dados de identidade, emprego, EWA, despesas e plafonds — exclusivamente por conta e sob instrução da entidade patronal, sem os utilizar para quaisquer fins próprios. No fim da relação contratual, a Paynest devolve todos os dados à entidade patronal e procede à eliminação integral dos seus sistemas.
4. Dado que o papel principal da Paynest é o de Subcontratante, os trabalhadores que pretendam exercer os seus direitos RGPD relativamente ao tratamento dos seus dados pessoais no contexto laboral devem dirigir-se à sua entidade patronal, que é o Responsável pelo Tratamento. A Paynest assistirá a entidade patronal no cumprimento desses pedidos, nos termos do Acordo de Tratamento de Dados. A presente Política informa os utilizadores sobre os meios técnicos que a Paynest utiliza e as garantias que oferece enquanto Subcontratante.
5. A presente Política deve ser lida em conjunto com os T&C disponíveis na Plataforma e em www.paynest.co/privacy-policy.

2

3. Dados Pessoais Recolhidos, Finalidades, Bases Legais e Prazos de Conservação

A tabela seguinte identifica as principais atividades de tratamento de dados pessoais realizadas pela Paynest, as respetivas categorias de dados, fontes, fundamentos legais, finalidades e prazos de conservação.

Nota: Os prazos de conservação indicados representam os períodos máximos aplicáveis. A Paynest procede à eliminação ou anonimização dos dados logo que estes deixem de ser necessários para a finalidade que motivou a sua recolha, exceto quando obrigação legal imponha conservação por período superior.

‍

4. Partilha de Dados Pessoais e Destinatários

4.1 Princípio Geral

Enquanto Subcontratante, a Paynest trata os dados dos trabalhadores por conta e sob instrução da Entidade Patronal, que é a Responsável pelo Tratamento. A Paynest não partilha dados pessoais com terceiros para fins próprios, e não os vende, aluga ou cede para fins de marketing. O acesso de terceiros aos dados ocorre apenas na medida estritamente necessária para a execução técnica dos Serviços, sempre em conformidade com a Lei Aplicável.

4.2 Entidades com Acesso aos Dados

As seguintes entidades podem ter acesso aos dados pessoais no contexto da prestação dos Serviços, sempre nos limites estritamente necessários e sob obrigações contratuais de confidencialidade e segurança:

• Entidade Patronal (Responsável pelo Tratamento): os dados são tratados pela Paynest por conta e sob instrução da Entidade Patronal. Esta tem acesso aos dados dos seus trabalhadores na Plataforma na qualidade de Responsável pelo Tratamento, nos termos do Acordo de Tratamento de Dados celebrado com a Paynest.
• Colaboradores internos da Paynest: apenas aqueles cujo acesso seja necessário para a prestação dos serviços, vinculados a obrigações de confidencialidade.
• Prestadores de serviços KYC e verificação de identidade: entidades subcontratadas para realizar o processo de verificação de identidade, sujeitas a obrigações contratuais de proteção de dados equivalentes às da Paynest.
• Prestadores de serviços de pagamento e instituições financeiras: para execução de transações EWA, pagamentos de bónus e processamento de plafonds, em cumprimento das obrigações legais aplicáveis aos serviços de pagamento.
• Prestadores de infraestrutura tecnológica (cloud, hosting, segurança, monitorização): subcontratantes que tratam dados em nome da Paynest, vinculados por Acordos de Subcontratação conformes com o Art. 28.º do RGPD.
• Consultores profissionais (advogados, auditores, contabilistas, seguradoras): sujeitos a obrigações legais e contratuais de confidencialidade.
• Autoridades públicas e reguladoras (CNPD, Banco de Portugal, Autoridade Tributária, órgãos de polícia criminal, tribunais): quando a divulgação seja legalmente exigida ou necessária para proteger direitos legítimos da Paynest ou de terceiros.

1. Todos os subcontratantes da Paynest estão vinculados por contratos que impõem: (i) tratamento exclusivamente para as finalidades acordadas; (ii) medidas de segurança adequadas; (iii) proibição de subcontratação adicional sem autorização; (iv) eliminação ou devolução de dados no final da relação contratual; (v) assistência no exercício de direitos pelos titulares.
2. Uma lista atualizada dos principais subcontratantes está disponível mediante pedido para privacy@paynest.co.

5. Transferências de Dados para Países Terceiros

1. Todos os dados pessoais tratados pela Paynest são processados e armazenados exclusivamente em Portugal e na União Europeia (UE) / Espaço Económico Europeu (EEE). A Paynest não realiza quaisquer transferências de dados pessoais para países terceiros fora da UE/EEE.
2. Caso esta situação se altere no futuro, a Paynest atualizará a presente Política de Privacidade nos termos da Secção 11, garantindo que quaisquer transferências para países terceiros sejam sempre realizadas com as salvaguardas adequadas exigidas pelo RGPD (Arts. 44.º a 49.º), e que os Utilizadores sejam informados previamente.

6. Tratamento Automatizado, Inteligência Artificial e Decisões Automatizadas

6.1 Utilização de Ferramentas de IA

1. A Paynest utiliza ferramentas de processamento automatizado — incluindo Reconhecimento Ótico de Caracteres (OCR) e Grandes Modelos de Linguagem (LLM) — para apoiar o processamento de despesas, a categorização de transações e outras funcionalidades da Plataforma.
2. Estas ferramentas são utilizadas exclusivamente como apoio operacional e não tomam decisões com efeitos jurídicos ou significativos para o Utilizador de forma autónoma. A responsabilidade pela exatidão das submissões mantém-se do Utilizador, que pode sempre corrigir dados pré-preenchidos antes de confirmar.
3. O uso de IA pela Paynest é realizado em conformidade com o Regulamento (UE) 2024/1689 (AI Act) e com o RGPD, designadamente os princípios de minimização de dados, limitação das finalidades e transparência.

6.2 Decisões Automatizadas (Art. 22.º RGPD)

1. A Paynest pode utilizar processos automatizados para apoiar a avaliação de pedidos (p. ex., cálculo automático do montante EWA disponível, validação de categorias de despesas face à política da entidade patronal). Contudo, a decisão final sobre aprovação ou recusa é sempre tomada pela entidade patronal ou por um colaborador humano da Paynest, conforme o caso.
2. Na eventualidade de ser implementada qualquer decisão baseada exclusivamente em processamento automatizado com efeitos significativos para o Utilizador, este será informado previamente e terá o direito a:
   
   1. Obter explicação sobre a lógica subjacente ao processamento automatizado;
   2. Solicitar intervenção humana na análise do caso;
   3. Contestar a decisão e apresentar o seu ponto de vista.
3. Para exercer estes direitos, o Utilizador deve enviar pedido para privacy@paynest.co, identificando a decisão em causa.

7. Medidas de Segurança

1. A Paynest implementa medidas técnicas e organizativas adequadas para proteger os dados pessoais contra destruição, perda, alteração, divulgação ou acesso não autorizados, em conformidade com o Art. 32.º do RGPD e as orientações da ENISA. As medidas implementadas incluem, nomeadamente:
   
   1. Cifragem de dados em trânsito (TLS 1.2+) e em repouso (AES-256);
   2. Autenticação multifator (MFA/2FA) para acesso à Plataforma;
   3. Controlos de acesso baseados no princípio do mínimo privilégio;
   4. Pseudonimização de dados pessoais sempre que tecnicamente viável;
   5. Monitorização contínua de sistemas e deteção de intrusões;
   6. Testes regulares de penetração e avaliações de vulnerabilidades;
   7. Procedimento documentado de resposta a incidentes de segurança;
   8. Registo de atividades de tratamento (Art. 30.º RGPD);
   9. Formação regular dos colaboradores em proteção de dados e segurança da informação;
   10. Avaliação de Impacto sobre a Proteção de Dados (AIPD) para tratamentos de alto risco.

2. A Paynest reconhece que nenhum sistema é absolutamente imune a ataques. O Utilizador é igualmente responsável pela segurança do seu dispositivo e credenciais de acesso, conforme descrito nos T&C.
3. Todos os subcontratantes estão obrigados contratualmente a implementar medidas de segurança equivalentes e a notificar a Paynest imediatamente em caso de incidente de segurança que envolva dados pessoais tratados por sua conta.

8. Direitos dos Titulares dos Dados

8.1 Catálogo de Direitos

O Utilizador dispõe dos seguintes direitos ao abrigo do RGPD, exercíveis nos termos da Secção 8.2:

• Direito de Acesso (Art. 15.º RGPD): Obter confirmação sobre se os seus dados são tratados e, em caso afirmativo, aceder a uma cópia dos dados tratados e às informações previstas no Art. 15.º, n.º 1 do RGPD.
• Direito de Retificação (Art. 16.º RGPD): Solicitar a correção de dados inexatos ou incompletos sem demora injustificada.
• Direito ao Apagamento / 'Direito a ser Esquecido' (Art. 17.º RGPD): Solicitar a eliminação dos seus dados pessoais quando estes já não sejam necessários para as finalidades que motivaram a sua recolha, sujeito a exceções legais (p. ex., obrigações de conservação fiscal ou AML).
• Direito à Limitação do Tratamento (Art. 18.º RGPD): Solicitar a suspensão do tratamento dos seus dados em determinadas circunstâncias (p. ex., enquanto contesta a exatidão dos dados).
• Direito à Portabilidade (Art. 20.º RGPD): Receber os dados que nos forneceu em formato estruturado, de uso corrente e leitura automática, e transmiti-los a outro responsável pelo tratamento, quando o tratamento seja baseado em consentimento ou contrato e realizado por meios automatizados.
• Direito de Oposição (Art. 21.º RGPD): Opor-se ao tratamento dos seus dados baseado no interesse legítimo, com fundamentos relacionados com a sua situação particular.
• Direito de Não Sujeição a Decisões Automatizadas (Art. 22.º RGPD): Não ser sujeito a decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos ou que o afetem significativamente, salvo exceções legais.‍
• Direito de Retirar o Consentimento (Art. 7.º, n.º 3 RGPD): Retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento efetuado com base no consentimento previamente prestado. A retirada do consentimento não afeta os tratamentos baseados noutras bases legais.

8.2 Como Exercer os Seus Direitos

1. O Utilizador pode exercer os seus direitos a qualquer momento, enviando pedido escrito para privacy@paynest.co, com indicação do direito que pretende exercer e da sua identificação (para verificação).
2. A Paynest acusa receção do pedido no prazo de 5 dias úteis e responde ao pedido no prazo máximo de um (1) mês a contar da receção. Este prazo pode ser prorrogado por mais dois (2) meses em casos de especial complexidade, mediante notificação prévia ao Utilizador (Art. 12.º, n.º 3 RGPD).
3. O exercício dos direitos é gratuito. Contudo, em caso de pedidos manifestamente infundados, excessivos ou repetitivos, a Paynest pode cobrar uma taxa razoável ou recusar dar seguimento ao pedido, fundamentando sempre a sua decisão (Art. 12.º, n.º 5 RGPD).
4. Dado que a Paynest atua predominantemente como Subcontratante, o exercício dos direitos RGPD relativos ao tratamento de dados no contexto laboral deve ser feito junto da entidade patronal (Responsável pelo Tratamento), que é a entidade legalmente competente para responder. A Paynest assistirá a entidade patronal no cumprimento desses pedidos, nos termos do Acordo de Tratamento de Dados. Para questões relativas ao funcionamento técnico da Plataforma ou às garantias de segurança oferecidas pela Paynest enquanto Subcontratante, o Utilizador pode contactar privacy@paynest.co.

9. Direito de Reclamação junto da Autoridade de Controlo

1. Se considerar que o tratamento dos seus dados pessoais viola o RGPD ou a legislação nacional de proteção de dados, tem o direito de apresentar reclamação à autoridade de controlo competente:‍
   

Comissão Nacional de Proteção de Dados (CNPD)‍

Av. D. Carlos I, 134, 1.º, 1200-651 Lisboa, Portugal

Telefone: +351 213 928 400

Email: geral@cnpd.pt

Website: www.cnpd.pt

10. Cookies e Tecnologias de Rastreio

A aplicação móvel da Paynest foi desenvolvida com um foco primordial na privacidade e na funcionalidade essencial. Nesse sentido, a aplicação utiliza apenas tecnologias que são estritamente e indispensavelmente necessárias para o seu correto e seguro funcionamento, bem como para a prestação dos serviços contratados pelo utilizador. Estas tecnologias incluem, mas não se limitam a:

• Autenticação e Gestão de Sessão: Mecanismos cruciais para verificar a identidade do utilizador (login) e manter uma sessão segura e contínua enquanto a aplicação está em uso, garantindo que apenas o utilizador autorizado tem acesso à sua informação e funcionalidades.
• Segurança: Ferramentas e protocolos essenciais para proteger os dados do utilizador e a integridade da aplicação contra acessos não autorizados e ameaças de segurança.
• Funcionalidades Essenciais do Serviço: Tecnologias que suportam diretamente as principais operações da Paynest, sem as quais o serviço não poderia ser prestado (por exemplo, processamento de transações, visualização de saldos, ou acesso a informações contratuais).

É importante sublinhar que, por serem inerentemente necessárias à prestação do serviço e à segurança do utilizador, estas tecnologias não podem ser desativadas individualmente pelo utilizador. A sua desativação comprometeria irremediavelmente a segurança, a funcionalidade e a própria capacidade de utilização da aplicação Paynest.

Em linha com o compromisso de privacidade da Paynest, a aplicação móvel adota uma política rigorosa de não utilização de tecnologias invasivas ou de rastreio comercial. Especificamente:

• Não Utilização de Cookies de Publicidade: A Paynest não incorpora nem utiliza cookies cujo propósito seja a exibição de publicidade direcionada, a recolha de dados para fins de marketing ou a criação de perfis de utilizador para fins comerciais.
• Não Utilização de Rastreio Comercial (Tracking) de Terceiros: A aplicação Paynest não integra quaisquer scripts, pixels ou outras tecnologias de tracking fornecidas por terceiros, que tenham como objetivo monitorizar o comportamento do utilizador na aplicação para fins de análise comercial, publicidade comportamental ou partilha de dados com outras entidades.

Esta abordagem assegura que a utilização da aplicação é focada unicamente na gestão dos serviços financeiros e que a experiência do utilizador não é comprometida pela recolha e análise intrusiva de dados para fins de lucro ou publicidade por parte da Paynest ou de terceiros.

11. Alterações à Política de Privacidade

1. A Paynest pode rever e atualizar a presente Política de Privacidade para refletir alterações legais, regulatórias, tecnológicas ou de produto.
2. Qualquer alteração material será notificada ao Utilizador com uma antecedência mínima de 30 dias, através de notificação na Plataforma e/ou por correio eletrónico, salvo se uma alteração legal urgente exigir implementação imediata, caso em que a notificação será realizada assim que possível.
3. Alterações que envolvam um novo tratamento de dados pessoais para fins incompatíveis com os originalmente comunicados requerem consentimento expresso do Utilizador antes de produzirem efeitos.
4. A versão atualizada da Política de Privacidade estará sempre disponível na Plataforma e em www.paynest.co/privacidade, com indicação da data da última revisão.
5. A continuação da utilização da Plataforma após o período de notificação constitui aceitação das alterações que não impliquem novo consentimento. Caso o Utilizador não aceite as alterações, pode desativar a sua conta nos termos dos T&C.

12. Disposições Gerais

1. Língua: A presente Política de Privacidade é redigida em língua portuguesa, que prevalece para todos os efeitos de interpretação. Em caso de tradução, a versão portuguesa prevalece.
2. Divisibilidade: Caso alguma disposição desta Política seja considerada inválida ou inexequível, as restantes disposições mantêm-se plenamente válidas e eficazes.
3. Relação com os T&C: A presente Política de Privacidade é parte integrante dos Termos e Condições de Utilização da Aplicação Móvel Paynest. Em caso de conflito entre os dois documentos em matéria de proteção de dados, prevalece a presente Política de Privacidade.
4. Menores: A Plataforma não se destina a utilizadores menores de 18 anos. A Paynest não recolhe intencionalmente dados de menores. Se tomarmos conhecimento de que dados de um menor foram recolhidos sem o consentimento do titular da responsabilidade parental, procederemos à eliminação imediata desses dados.
5. Legislação aplicável: A presente Política de Privacidade é regida pelo direito português e pelo direito da União Europeia, em especial o RGPD (Regulamento (UE) 2016/679) e a Lei n.º 58/2019, de 8 de agosto.

‍

Paynest Portugal Unipessoal Lda  |  NIPC 516 961 390  |  Av. Duque de Loulé, 12, 1050-093 Lisboa  |  privacy@paynest.co  |  www.paynest.co/privacidade

Versão 3.0 | Maio de 2026 | Este documento substitui integralmente a Política de Proteção de Dados anterior da Paynest Portugal (versão de Setembro de 2025).