Through reading the Standard Terms and the Data Processing Addendum, I can see that the documents pretty much state that they can send data outside the EU.
As much as I like the product, this is just not jiving well with our compliance folks. Which I understand.
Any other European companies who have struggled with the same issue? How have you interpreted/solved this?
My host is Scaleway, with datacentres in Paris, Warsaw and Amsterdam :). There are many options for self hosting in the EU.
I believe the Discourse team has a European option, if you don’t wish manage hosting yourself? So has Communiteq?
Hey Nina,
As Robert mentioned we do have an option for hosting in the EU, specifically Dublin, Ireland. You’re also correct that we can’t guarantee the data will never leave the EU. Our company is global, as are most of our subprocessors like our CDN provider, our image storage provider, etc. We do have numerous EU companies, large and small, that use our hosting. That said, I’m not their lawyer or compliance team, so I can’t speak to their decisions. Feel free to shoot us an email if you (or your compliance team) would like to chat about our hosting in more detail!
And this is all assuming you want managed hosting. Our Standard Terms and DPA are irrelevant if you decide to self-host.
Excellent - Communiteq may just be what we need. Thanks!
Obligatorio “No soy abogado, ni nada de esto es asesoramiento legal”. 
Sí, y nos llevó meses resolverlo (valió la pena).
El equipo de Discourse fue excepcionalmente paciente con nosotros e hizo una serie de mejoras. Por ejemplo, la lista de subprocesadores es ahora significativamente más detallada, informándonos de qué servicio se utiliza dónde. Cualquiera de los subprocesadores que no nos gustan, simplemente lo deshabilitamos en nuestra instancia.
En última instancia, nuestra instancia está alojada en la UE y actualmente solo utilizamos CDN europeos. Desafortunadamente, los usuarios en China no pueden recuperar este contenido, por lo que podríamos necesitar abrirnos a CDN de todo el mundo. Los usuarios de otros países no pertenecientes a la UE no tienen problemas para acceder a las CDN europeas.
En términos de GDPR, nuestra política es algo así como “Cualquier transferencia a un país que no sea un estado miembro de la Unión Europea o un estado que sea parte del acuerdo sobre el Espacio Económico Europeo requiere el consentimiento previo por escrito del Cliente y solo puede realizarse si se cumplen los requisitos especiales del artículo 44 del GDPR”.
Tenemos un par de cláusulas como esta, que entiendo que significan “Si no estás almacenando datos en la UE, pero cumple con los estándares de la UE, entonces está bien”.