首先要检查的是托管位置。当您创建应用程序时，Heroku 允许您选择它是在美国还是欧洲托管（尽管仅此而已 - 您只需要希望它不包括英国！）。

接下来，由于 Heroku 是一项托管应用服务，这意味着它们可以获得比典型虚拟机更多的访问权限。然后，您需要阅读 their privacy policy，这会带来一个问题：Heroku 归 Salesforce.com 所有，该公司对 this doc 中最近的法院判决采取了好战的 Facebook 式正面否认方法。他们在那里说 ECJ 并没有使标准合同条款 (SCC) 无效，这是真的，但不是故事的结局。欧洲法院表示，虽然 SCC 作为法律文书是有效的，但它们只能用于管理维护欧盟数据保护和隐私标准的司法管辖区之间的转移（就美国而言，随着 Privacy Shield），这被视为相关服务的责任来证实。那么，您接下来想知道的是，如果 Salesforce 使用的 SCC 被认为是有效的，那么对美国法律地位的详细分析和对美国安全服务的审计在哪里？

这当然是一个反问句：Salesforce 没有进行过这样的审计，他们也没有进行足够详细的审计，这当然意味着 SCC 不是欧盟和美国之间转移的有效机制 /em> 适用于 Salesforce 运行的任何服务。

也就是说，他们的隐私政策相当大，我建议您阅读它，尽管他们仍然参考现已失效的隐私盾，并做出一些让我担心的断言。我建议查明他们如何处理欧盟数据中心保存的数据，他们如何处理日志记录，并更仔细地查看他们的第三方共享，因为这通常是最大的问题领域。

这不是真正深入研究的地方，所以我建议您阅读他们的政策，以及 read the GDPR（这不是官方来源，但我发现它更有用），或者如果您想要更精确的分析，请找律师。 GDPR 的主要重点是广泛的原则，而不是实施细节，因此，如果某些事情看起来不可靠、令人毛骨悚然或超出范围，那很可能就是如此。

如果提出的问题多于回答的问题，我深表歉意！