Through reading the Standard Terms and the Data Processing Addendum, I can see that the documents pretty much state that they can send data outside the EU.
As much as I like the product, this is just not jiving well with our compliance folks. Which I understand.
Any other European companies who have struggled with the same issue? How have you interpreted/solved this?
My host is Scaleway, with datacentres in Paris, Warsaw and Amsterdam :). There are many options for self hosting in the EU.
I believe the Discourse team has a European option, if you don’t wish manage hosting yourself? So has Communiteq?
Hey Nina,
As Robert mentioned we do have an option for hosting in the EU, specifically Dublin, Ireland. You’re also correct that we can’t guarantee the data will never leave the EU. Our company is global, as are most of our subprocessors like our CDN provider, our image storage provider, etc. We do have numerous EU companies, large and small, that use our hosting. That said, I’m not their lawyer or compliance team, so I can’t speak to their decisions. Feel free to shoot us an email if you (or your compliance team) would like to chat about our hosting in more detail!
And this is all assuming you want managed hosting. Our Standard Terms and DPA are irrelevant if you decide to self-host.
Excellent - Communiteq may just be what we need. Thanks!
Obrigatório "Não sou advogado, nem nada disso é aconselhamento jurídico." 
Sim, e levamos meses para resolver (valeu a pena).
A equipe da Discourse foi excepcionalmente paciente conosco e fez uma série de melhorias. Por exemplo, a lista de subprocessadores agora é significativamente mais detalhada, informando-nos qual serviço é usado onde. Qualquer um dos subprocessadores que não gostamos, simplesmente desativamos em nossa instância.
No final, nossa instância é hospedada na UE e, atualmente, usamos apenas CDNs europeus. Infelizmente, os usuários na China não conseguem recuperar este conteúdo, então podemos precisar abrir para CDNs de todo o mundo. Usuários em outros países não pertencentes à UE não têm problemas para acessar os CDNs europeus.
Em termos de GDPR, nossa política é algo como “Qualquer transferência para um país que não seja um estado membro da União Europeia ou um estado que faça parte do acordo sobre o Espaço Econômico Europeu requer o consentimento prévio por escrito do Cliente e só pode ser realizada se os requisitos especiais do artigo 44 do GDPR forem atendidos.”
Temos algumas cláusulas como essa, que entendo que significam “Se você não estiver armazenando dados na UE, mas eles atenderem aos padrões da UE, então tudo bem.”