DATA PROCESSING ADDENDUM

ADITIVO DE PROCESSAMENTO DE DADOS

Version 2.0 · Updated 14 May 2026

This Data Processing Addendum ("DPA") supplements and forms part of the InsureMO Subscription General Terms and Conditions available at https://insuremo.com/en/legal-general-terms-and-conditions/, as updated from time to time between Client and Company, or other agreement(s) between Client and Company governing Client's use of the Services (the "Agreement"). This DPA is an agreement between you and the entity you represent ("Client") and the InsureMO Contracting Entity under the Agreement ("Company"). This DPA reflects the Parties' agreement with regard to the Processing of Client Data (as defined below) by Company on behalf of Client in order to provide the Services pursuant to the Agreement.

Este Aditivo de Processamento de Dados ("DPA") complementa e forma parte dos Termos e Condições Gerais de Assinatura da InsureMO, disponíveis em https://insuremo.com/en/legal-general-terms-and-conditions/, conforme atualizados periodicamente, entre o Cliente e a Empresa, ou de outro(s) acordo(s) entre Cliente e Empresa que regem o uso dos Serviços pelo Cliente (o "Contrato"). Este DPA é um acordo entre você e a entidade que você representa ("Cliente") e a Entidade Contratante da InsureMO sob o Contrato ("Empresa"). Este DPA reflete o acordo das Partes com relação ao Processamento de Dados do Cliente (conforme definido abaixo) pela Empresa em nome do Cliente, a fim de fornecer os Serviços de acordo com o Contrato.

1. DEFINITIONS

1. DEFINIÇÕES

All capitalized terms shall follow the definition under the Agreement unless otherwise defined specifically in this DPA as below:

Todos os termos iniciados em maiúscula seguirão o significado definido no Contrato, salvo definição específica neste DPA conforme abaixo:

Client Data means the Personal Data that is uploaded to the Services under Client's InsureMO accounts, or otherwise provided by, or on behalf of Client to Company through the Use of the Services.

Dados do Cliente significa os Dados Pessoais que são carregados para os Serviços sob as contas InsureMO do Cliente, ou de outra forma fornecidos pelo Cliente ou em nome do Cliente à Empresa por meio do Uso dos Serviços.

Controller means the entity which, alone or jointly with others, determines the purposes and means of Processing of Personal Data.

Controlador significa a entidade que, isoladamente ou conjuntamente com outras, determina as finalidades e os meios do Processamento de Dados Pessoais.

Data Protection Laws mean all legislations and regulations applicable to the Processing of Client Data under the Agreement, including GDPR (EU General Data Protection Regulation 2016/679) and other data protection legislations, as applicable.

Leis de Proteção de Dados significam toda legislação e regulamentação aplicável ao Processamento de Dados do Cliente sob o Contrato, incluindo GDPR (Regulamento Geral de Proteção de Dados da União Europeia 2016/679) e outras legislações de proteção de dados, conforme aplicável.

Process or Processing means any operation or set of operations performed on Client Data, including collection, storage, use, access, disclosure, erasure, destruction, and reading.

Processar ou Processamento (também denominado “tratamento”) significa qualquer operação ou conjunto de operações realizadas sobre os Dados do Cliente, incluindo coleta, armazenamento, uso, acesso, divulgação, eliminação, destruição e leitura.

Processor means the entity which Processes Personal Data on behalf of the Controller.

Processador (também denominado "Operador" nos termos da LGPD) significa a entidade que Processa Dados Pessoais em nome do Controlador.

Security Incident means a breach of Company's security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Client Data.

Incidente de Segurança significa uma violação de segurança da Empresa que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados do Cliente.

Sub-processor means the entity engaged by Processor to provide Processing activities on Personal Data on behalf of Controller.

Subprocessador (também denominado "Suboperador" nos termos da LGPD) significa a entidade contratada pelo Processador para fornecer atividades de Processamento de Dados Pessoais em nome do Controlador.

Supervisory Authority means an independent public authority or national body responsible for monitoring the application of the applicable Data Protection Laws.

Autoridade Supervisora significa uma autoridade pública independente ou órgão nacional responsável por monitorar a aplicação das Leis de Proteção de Dados aplicáveis.

2. DATA PROCESSING

2. PROCESSAMENTO DE DADOS

2.1 Scope and Roles. This DPA applies when Client Data is Processed by Company as a Processor on behalf of Client as a Controller in order to provide Services pursuant to the Agreement. For clarity, this DPA applies only to the Processing of Personal Data in environments controlled by Company and Company's Sub-processors. For the avoidance of doubt, this includes Personal Data sent to Company through the Use of the Services but does not include Personal Data that remains on Client's premises or in any of Client's selected third party operating environments.

2.1 Escopo e Papéis. Este DPA se aplica quando os Dados do Cliente são Processados pela Empresa como Processador em nome do Cliente como Controlador, a fim de fornecer os Serviços de acordo com o Contrato. Para clareza, este DPA se aplica apenas ao Processamento de Dados Pessoais em ambientes controlados pela Empresa e pelos Subprocessadores da Empresa. Para evitar dúvidas, isso inclui Dados Pessoais enviados à Empresa por meio do Uso dos Serviços, mas não inclui Dados Pessoais que permaneçam nas instalações do Cliente ou em qualquer ambiente operacional de terceiros selecionado pelo Cliente.

2.2 Processing Details

2.2 Detalhes do Processamento

2.2.1 Subject matter. The subject matter of the data processing under this DPA is Client Data.

2.2.1 Objeto. O objeto do processamento de dados sob este DPA são os Dados do Cliente.

2.2.2 Duration of the Processing. The duration of the Processing of Client Data under this DPA corresponds to the duration of the Services unless otherwise agreed by the Parties in writing.

2.2.2 Duração do Processamento. A duração do Processamento dos Dados do Cliente sob este DPA corresponde à duração dos Serviços, salvo acordo escrito em contrário entre as Partes.

2.2.3 Purpose and Nature of the Processing. Company will Process Personal Data as necessary to perform the Services pursuant to the Agreement, as further specified in the Documentation, and as further instructed by Client in its Use of the Services. The nature of the Processing is the performance of the Services pursuant to the Agreement.

2.2.3 Finalidade e Natureza do Processamento. A Empresa Processará Dados Pessoais conforme necessário para executar os Serviços de acordo com o Contrato, conforme especificado na Documentação e conforme instruído pelo Cliente em seu Uso dos Serviços. A natureza do Processamento é a execução dos Serviços de acordo com o Contrato.

2.2.4 Type of Personal Data. Personal Data uploaded to the Services under Client's InsureMO accounts or otherwise provided by Client to Company.

2.2.4 Tipo de Dados Pessoais. Dados Pessoais carregados para os Serviços sob as contas InsureMO do Cliente ou fornecidos pelo Cliente à Empresa.

2.2.5 Categories of Data Subjects. The Data Subjects could include Client's customers, employees, suppliers and End Users.

2.2.5 Categorias de Titulares de Dados. Os Titulares de Dados podem incluir clientes do Cliente, empregados, fornecedores e Usuários Finais.

2.3 Compliance with Law. Each party will comply with all Data Protection Laws applicable to and binding on it in the performance of this DPA. Client agrees that it shall comply with its obligations as a Controller under Data Protection Laws. Client will not use the Services in a way that would violate Data Protection Laws.

2.3 Conformidade com a Lei. Cada Parte cumprirá todas as Leis de Proteção de Dados aplicáveis e vinculantes no desempenho deste DPA. O Cliente concorda que cumprirá suas obrigações como Controlador sob as Leis de Proteção de Dados. O Cliente não utilizará os Serviços de forma que viole as Leis de Proteção de Dados.

3. CLIENT INSTRUCTIONS

3. INSTRUÇÕES DO CLIENTE

The Parties agree that this DPA and the Agreement constitute Client's documented instructions regarding Company's Processing of Client Data ("Documented Instructions"). Company will Process Client Data only in accordance with Documented Instructions from Client, unless otherwise required by Data Protection Laws. Additional instructions outside the scope of the Documented Instructions (if any) require prior written agreement between Company and Client, including agreement on any additional fees payable by Client to Company for carrying out such instructions. Client is entitled to terminate this DPA and the Agreement if Company declines to follow instructions requested by Client that are outside the scope of, or changed from, those given or agreed to be given in this DPA.

As Partes concordam que este DPA e o Contrato constituem as instruções documentadas do Cliente referentes ao Processamento dos Dados do Cliente pela Empresa ("Instruções Documentadas"). A Empresa Processará os Dados do Cliente somente de acordo com Instruções Documentadas do Cliente, salvo exigência legal em contrário. Instruções adicionais fora do escopo das Instruções Documentadas (se houver) exigem acordo prévio por escrito entre a Empresa e o Cliente, incluindo acordo sobre quaisquer taxas adicionais devidas pelo Cliente à Empresa para executar tais instruções. O Cliente tem direito de rescindir este DPA e o Contrato se a Empresa recusar-se a seguir instruções solicitadas pelo Cliente que estejam fora do escopo ou sejam diferentes das instruções dadas ou acordadas conforme este DPA.

4. CONFIDENTIALITY COMMITMENT

4. COMPROMISSO DE CONFIDENCIALIDADE

Company will take reasonable steps to ensure that its personnel engaged in the Processing of Client Data (i) will Process such data only on Documented Instructions from Client, and (ii) will be obligated to maintain the confidentiality and security of such data. Company imposes appropriate contractual obligations upon its personnel, including relevant obligations regarding confidentiality, data protection and data security.

A Empresa tomará medidas razoáveis para garantir que seu pessoal envolvido no Processamento dos Dados do Cliente (i) Processará tais dados somente de acordo com Instruções Documentadas do Cliente, e (ii) estará obrigado a manter a confidencialidade e segurança de tais dados. A Empresa impõe obrigações contratuais adequadas ao seu pessoal, incluindo obrigações relativas à confidencialidade, proteção de dados e segurança da informação.

5. SECURITY OF DATA PROCESSING

5. SEGURANÇA DO PROCESSAMENTO DE DADOS

5.1 Company has implemented and will maintain appropriate technical and organizational measures, as set out in Annex 1 ("Security Measures"), for protection of the security, confidentiality and integrity of Client Data.

5.1 A Empresa implementou e manterá medidas técnicas e organizacionais apropriadas, conforme estabelecidas no Anexo 1 ("Medidas de Segurança"), para proteger a segurança, confidencialidade e integridade dos Dados do Cliente.

5.2 Company regularly monitors compliance with the Security Measures. Client acknowledges that the Security Measures are subject to technical progress and development and that Company may update or modify the Security Measures from time to time provided that such updates and modifications will not materially decrease the overall security of the Services. Company will, at Client's request, make available to Client corresponding information reasonably requested by Client regarding Company's security practices and policies.

5.2 A Empresa monitora regularmente a conformidade com as Medidas de Segurança. O Cliente reconhece que tais Medidas estão sujeitas a progresso e desenvolvimento técnico e que a Empresa poderá atualizar ou modificar as Medidas desde que tais atualizações não reduzam materialmente o nível geral de segurança dos Serviços. A Empresa disponibilizará ao Cliente, mediante solicitação, informações razoavelmente solicitadas pelo Cliente sobre práticas e políticas de segurança da Empresa.

6. SUB-PROCESSING

6. SUBPROCESSAMENTO

6.1 General Authorization. Client acknowledges and agrees that Company may appoint its Affiliates, Amazon Web Services, Microsoft Azure, Google Cloud Platform and Oracle Cloud Infrastructure as Sub-processors to provide Processing activities on Client Data on behalf of Client.

6.1 Autorização Geral. O Cliente reconhece e concorda que a Empresa poderá nomear suas Afiliadas, Amazon Web Services, Microsoft Azure, Google Cloud Platform e Oracle Cloud Infrastructure como Subprocessadores para fornecer atividades de Processamento dos Dados do Cliente em nome do Cliente.

6.2 Company shall not engage a Sub-processor to carry out specific Processing activities which fall outside the general authorization granted above without Client's prior written authorization and, where such other Sub-processor is so engaged, Company shall ensure that the same contractual obligations set out in this DPA be imposed on that Sub-processor.

6.2 A Empresa não contratará um Subprocessador para conduzir atividades específicas de Processamento fora da autorização geral acima sem autorização prévia e por escrito do Cliente; e, quando tal Subprocessador for contratado, a Empresa garantirá que as mesmas obrigações contratuais previstas neste DPA sejam impostas ao Subprocessador.

6.3 Company is responsible for its Sub-processors' compliance with Company's obligations in this DPA.

6.3 A Empresa é responsável pelo cumprimento das obrigações de seus Subprocessadores conforme este DPA.

6.4 The Parties agree that if copies of Company's agreements with a Sub-processor must be sent by Company to Client as required by Data Protection Laws, such copies will be provided only upon reasonable request by Client and all commercial information and provisions unrelated to this DPA will be redacted beforehand.

6.4 As Partes concordam que, se cópias dos acordos da Empresa com um Subprocessador precisarem ser enviadas ao Cliente conforme exigido pelas Leis de Proteção de Dados, tais cópias serão fornecidas apenas mediante solicitação razoável do Cliente, e todas as informações comerciais e disposições não relacionadas a este DPA serão previamente tarjadas.

7. SECURITY INCIDENT NOTIFICATION

7. NOTIFICAÇÃO DE INCIDENTE DE SEGURANÇA

7.1 Company will (i) notify Client of a Security Incident without undue delay after becoming aware of the Security Incident, and (ii) take reasonable steps to mitigate any adverse effects resulting from the Security Incident.

7.1 A Empresa (i) notificará o Cliente sobre um Incidente de Segurança sem atraso injustificado após tomar conhecimento, e (ii) tomará medidas razoáveis para mitigar quaisquer efeitos adversos decorrentes do Incidente.

7.2 Notification(s) of Security Incidents will be delivered to Client by any means Company selects, including via email. It is Client's sole responsibility to ensure Client maintains accurate contact information with Company for each applicable Service.

7.2 As notificações serão enviadas ao Cliente por qualquer meio escolhido pela Empresa, incluindo e-mail. É responsabilidade exclusiva do Cliente manter informações de contato atualizadas para cada Serviço aplicável.

7.3 Client is solely responsible for complying with its third-party notification obligations related to any Security Incident as required under Data Protection Laws.

7.3 O Cliente é exclusivamente responsável por cumprir suas obrigações de notificação a terceiros relacionadas a qualquer Incidente de Segurança exigido pelas Leis de Proteção de Dados.

7.4 Company shall make reasonable efforts to assist Client in fulfilling Client's obligation, as required under Data Protection Laws, to notify the relevant Supervisory Authority and Data Subjects about such Security Incident.

7.4 A Empresa envidará esforços razoáveis para ajudar o Cliente a cumprir sua obrigação, conforme exigido pelas Leis de Proteção de Dados, de notificar a Autoridade Supervisora relevante e os Titulares de Dados sobre tal Incidente.

8. AUDIT

8. AUDITORIA

Subject to Client's commitment in confidentiality, Company shall allow for, and contribute to, audits conducted by Client or another auditor designated by Client, who shall not be a direct competitor of Company, including inspections to the extent required by Data Protection Laws, during Company's normal business hours without interference to Company's daily operations, in accordance with the following procedures: (a) Company will provide Client or its designated auditor with the most recent certifications and/or summary audit report(s), which Company has procured to regularly test, assess and evaluate the effectiveness of the security measures. (b) If further information is needed by Client to comply with its own or other Controllers audit obligations or a competent Supervisory Authority's request, Client shall inform Company in writing to enable Company to provide such information or to grant access to it. (c) To the extent that it is not possible to satisfy Client's audit rights as stipulated in Data Protection Laws or as required by a competent Supervisory Authority unless by way of onsite visit in Company's premise or facilities, Company shall allow the onsite visit provided that Client gives Company reasonable prior written notice of such onsite visit and such onsite visit shall be conducted on a Working Day during normal business hours mutually selected by the Parties to reduce any risk to Company's other clients, and only in a manner that causes minimal disruption to Company's business.

Sujeito ao compromisso de confidencialidade do Cliente, a Empresa permitirá e contribuirá para auditorias conduzidas pelo Cliente ou por auditor designado pelo Cliente, que não seja concorrente direto da Empresa, incluindo inspeções na medida exigida pelas Leis de Proteção de Dados, durante o horário comercial da Empresa e sem interferência nas operações diárias, de acordo com os seguintes procedimentos: (a) A Empresa fornecerá ao Cliente ou ao auditor designado os certificados e/ou relatórios de auditoria resumidos mais recentes, que a Empresa obteve para testar, avaliar e verificar regularmente a eficácia das medidas de segurança. (b) Se informações adicionais forem necessárias para que o Cliente cumpra suas obrigações de auditoria ou por solicitação da Autoridade Supervisora, o Cliente notificará a Empresa por escrito para que esta forneça tais informações ou acesso. (c) Na medida em que não seja possível satisfazer os direitos de auditoria do Cliente, conforme previstos na Legislação de Proteção de Dados ou conforme exigido por uma Autoridade Supervisora competente, sem visita presencial às instalações da Empresa, a Empresa permitirá a visita desde que o Cliente forneça aviso prévio razoável e a visita ocorra em dia útil e horário comercial acordado, minimizando riscos aos demais clientes da Empresa e a causar a mínima interferência possível nas atividades da Empresa

9. TRANSFERS OF CLIENT DATA

9. TRANSFERÊNCIAS DE DADOS DO CLIENTE

Client Data relating to the Services of the Agreement will be stored in a location as agreed with the Client. Company will not transfer Client Data to other locations/countries. In the event of a documented instruction from Client on international transfer of Client Data for purposes of performance of the Agreement or for Company to provide the Services initiated by Client, Client shall ensure its instructions will not breach the requirements under Data Protection Laws, and each Party will ensure such transfer is made in compliance with the requirements of Data Protection Laws.

Os Dados do Cliente relacionados aos Serviços serão armazenados na localidade acordada com o Cliente. A Empresa não transferirá Dados do Cliente para outras localidades/países. No caso de instrução documentada do Cliente para transferência internacional de Dados do Cliente para execução do Contrato ou para prestação dos Serviços pela Empresa iniciada pelo Cliente, o Cliente deverá assegurar que tais instruções não violem as Leis de Proteção de Dados, e cada Parte garantirá que a transferência ocorra em conformidade com tais Leis.

10. COMPANY ASSISTANCE

10. ASSISTÊNCIA DA EMPRESA

10.1 Company will assist Client, when reasonably requested by Client, by technical and organizational measures for the fulfillment of Client's obligation to comply with the rights of Data Subjects and in compliance with Client's obligations relating to the security of Processing, the notification to Supervisory Authorities and/or communication of a Security Incident to Data Subjects, as and when required by Data Protection Laws, taking into account the nature of the Processing and the information available to Company, subject to reasonable additional charges as mutually agreed by the Parties in advance for the efforts incurred based on the then-current charging standard of Company. If Client does not agree to the quote of Company, the Parties agree to reasonably cooperate to find a feasible solution.

10.1 A Empresa prestará assistência ao Cliente, quando razoavelmente solicitado, com medidas técnicas e organizacionais para o cumprimento pelo Cliente de suas obrigações em relação aos direitos dos Titulares de Dados e às obrigações relativas à segurança do Processamento, notificação às Autoridades Supervisoras e/ou comunicação de um Incidente de Segurança aos Titulares de Dados, conforme exigido pelas Leis de Proteção de Dados, levando em conta a natureza do Tratamento de Dados e as informações disponíveis à Empresa, sujeita à cobrança de valores adicionais razoáveis, previamente acordados entre as Partes, em razão dos esforços incorridos, calculados com base no padrão de preços vigente da Empresa à época da solicitação.. Caso o Cliente não concorde com o orçamento apresentado pela Empresa, as Partes comprometem-se a cooperar de boa-fé para buscar uma solução viável.

10.2 Data Protection Impact Assessment. Taking into account the nature of the Processing and the information available to Company, Company will assist Client in complying with Client's obligations in respect of data protection impact assessments and prior consultation with the responsible Supervisory Authority as and when required by the Data Protection Laws, by providing the necessary information reasonably requested by Client.

10.2 Avaliação de Impacto de Proteção de Dados. Levando em conta a natureza do Processamento e as informações disponíveis à Empresa, a Empresa ajudará o Cliente a cumprir suas obrigações relativas a avaliações de impacto e consultas prévias com a Autoridade Supervisora, quando exigido pelas Leis de Proteção de Dados, fornecendo as informações necessárias razoavelmente solicitadas pelo Cliente.

11. TERMINATION OF THE DPA

11. RESCISÃO DO DPA

This DPA will continue in force and effect until the expiry or termination of the Agreement.

Este DPA permanecerá em vigor até a expiração ou rescisão do Contrato.

12. DELETION OR RETURN OF CLIENT DATA

12. ELIMINAÇÃO OU DEVOLUÇÃO DOS DADOS DO CLIENTE

Upon termination of the Agreement, Company will, subject to the terms and conditions of the Agreement or otherwise agreed with the Client, delete or return Client Data in its possessions, unless otherwise required by applicable laws.

Após a rescisão do Contrato, a Empresa eliminará ou devolverá os Dados do Cliente em sua posse, conforme os termos e condições do Contrato ou conforme acordado com o Cliente, salvo exigência legal em contrário.

13. LIMITATION OF LIABILITY

13. LIMITAÇÃO DE RESPONSABILIDADE

EACH PARTY'S AND ALL OF ITS AFFILIATES' TOTAL AND AGGREGATE LIABILITIES ARISING OUT OF OR IN CONNECTION WITH THIS DPA, WHETHER IN CONTRACT, TORT OR UNDER ANY OTHER THEORY OF LIABILITY, ARE SUBJECT TO THE LIMITATION OF LIABILITY SET OUT IN THE AGREEMENT.

A RESPONSABILIDADE TOTAL E AGREGADA DE CADA PARTE E DE TODAS AS SUAS AFILIADAS DECORRENTE DE OU RELACIONADA A ESTE DPA, SEJA EM CONTRATO, ATO ILÍCITO OU POR OUTRA TEORIA DE RESPONSABILIDADE, ESTÁ SUJEITA À LIMITAÇÃO DE RESPONSABILIDADE ESTABELECIDA NO CONTRATO.

14. MISCELLANEOUS

14. DISPOSIÇÕES DIVERSAS

14.1 In the event and to the extent of a conflict between the Agreement and this DPA, the terms of this DPA will prevail.

14.1 No caso e na medida de conflito entre o Contrato e este DPA, prevalecerão os termos deste DPA.

14.2 Company has a Data Security Committee that includes a Data Protection Officer responsible for overseeing data protection and security measures. The Data Security Committee may be contacted at security-committee@insuremo.com.

14.2 A Empresa possui um Comitê de Segurança de Dados que inclui um Encarregado de Proteção de Dados responsável por supervisionar medidas de segurança e proteção de dados. O Comitê pode ser contatado em security-committee@insuremo.com.

14.3 In the event of any discrepancy or inconsistency between the Portuguese and English versions of this DPA, the Portuguese version shall prevail and shall be deemed the official version for all legal purposes.

14.3 Em caso de discrepância ou inconsistência entre as versões em português e inglês deste DPA, prevalecerá a versão em português, que será considerada a versão oficial para todos os efeitos legais.

ANNEX 1 – SECURITY MEASURES

ANEXO 1 — MEDIDAS DE SEGURANÇA

Company has implemented and will maintain for Client Data the following Security Measures, which are in conjunction with the security commitments in this DPA, and the following are Company’s only responsibility with respect to the security of Client Data. A Empresa implementou e manterá, em relação aos Dados do Cliente, as seguintes Medidas de Segurança, as quais se aplicam em conjunto com os compromissos de segurança previstos neste DPA, constituindo estas as únicas responsabilidades da Empresa no que se refere à segurança dos Dados do Cliente.