1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Logowanie przez Google lub Facebook a RODO – co musi wiedzieć administrator danych?
Wyszukiwanie...

Logowanie przez Google lub Facebook a RODO – co musi wiedzieć administrator danych?

Spis treści

Coraz więcej stron internetowych umożliwia rejestrację i logowanie za pomocą konta Google, Facebook czy innego dostawcy zewnętrznego. Dla użytkowników to wygoda – nie muszą pamiętać dodatkowych haseł. Dla administratora danych osobowych (ADO) – poważne wyzwanie prawne, zwłaszcza w kontekście RODO i transferu danych poza Europejski Obszar Gospodarczy (EOG).

Poniżej wyjaśniam, kiedy taka funkcjonalność jest zgodna z RODO, jakie obowiązki spoczywają na administratorze oraz jakie dodatkowe ryzyka należy wziąć pod uwagę.

Czy logowanie przez Google i Facebook jest zgodne z RODO?

Obecnie (sierpień 2025 r.) korzystanie z opcji logowania przy użyciu konta Google lub Facebook jest zgodne z przepisami RODO, ponieważ Meta Platforms i Google przystąpiły do Ramy Prywatności UE–USA (Data Privacy Framework, DPF), które zostały zatwierdzone przez Komisję Europejską na podstawie art. 45 RODO.

👉 Oznacza to, że dane osobowe użytkowników przekazywane do USA (np. w momencie logowania przez konto społecznościowe) trafiają do podmiotów, które posiadają aktualny certyfikat DPF, a więc zapewniają poziom ochrony uznany przez KE za adekwatny.

⚠️ Ryzyko prawne – w przeszłości Trybunał Sprawiedliwości UE (TSUE) już dwukrotnie unieważniał decyzje Komisji Europejskiej w podobnym zakresie (tzw. Safe Harbour i Privacy Shield). Jeśli DPF również zostałby uchylony, logowanie przez Facebook czy Google wiązałoby się z naruszeniem RODO, ponieważ doszłoby do nielegalnego transferu danych poza EOG.

Obowiązki administratora danych przed uruchomieniem logowania przez Google/Facebook

Administrator, zanim wdroży taką funkcjonalność, musi spełnić szereg wymogów wynikających z RODO:

  1. Podstawa prawna przetwarzania danych
    • ADO musi wskazać podstawę z art. 6 RODO (najczęściej będzie to niezbędność do wykonania umowy w zakresie umożliwienia logowania lub prawnie uzasadniony interes administratora).
  2. Ocena ryzyka i DPIA
    • Z uwagi na transfer danych do państwa trzeciego warto przeprowadzić ocenę skutków dla ochrony danych (DPIA), zgodnie z art. 35 RODO.
  3. Umowa powierzenia / relacje z dostawcą
    • Administrator powinien sprawdzić status Google/Facebook w rejestrze DPF i upewnić się, że logowanie odbywa się zgodnie z zasadami certyfikacji.
  4. Obowiązek informacyjny wobec użytkownika
    • Zgodnie z art. 13 RODO użytkownik musi wiedzieć:
      • kto jest administratorem danych,
      • w jakim celu dane będą przetwarzane,
      • kto jest odbiorcą (np. Meta Platforms, Google LLC),
      • że dane mogą być przekazywane do USA na podstawie decyzji KE z art. 45 RODO,
      • jakie prawa mu przysługują (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania, prawo sprzeciwu).

Jakie informacje trzeba zawrzeć w polityce prywatności?

Polityka prywatności musi wprost informować o logowaniu za pomocą zewnętrznych dostawców. Powinna obejmować:

  • Zakres danych – np. imię, nazwisko, adres e-mail, identyfikator użytkownika przekazywany przez Google/Facebook.
  • Cel przetwarzania – utworzenie konta, logowanie, personalizacja usług.
  • Odbiorcy danych – wymienienie z nazwy (Meta Platforms Inc., Google LLC).
  • Transfer danych – wskazanie, że dane są przekazywane do USA na podstawie decyzji KE stwierdzającej odpowiedni stopień ochrony (art. 45 RODO).
  • Prawa użytkownika – m.in. prawo wniesienia skargi do organu nadzorczego (UODO).

Przykłady praktyczne

Przykład 1 – sklep internetowy

Pani Katarzyna prowadzi sklep z odzieżą online. Umożliwia klientom logowanie przez konto Google. W polityce prywatności informuje, że w tym celu przekazywane są dane identyfikacyjne użytkownika do Google LLC w USA, które przystąpiło do Ram Prywatności UE–USA.

Przykład 2 – portal edukacyjny

Pan Marek uruchomił serwis e-learningowy, gdzie logowanie możliwe jest także przez Facebook. W regulaminie i polityce prywatności zamieścił szczegółową informację o transferze danych do USA oraz wskazał, że podstawą prawną przetwarzania jest art. 6 ust. 1 lit. b RODO (realizacja usługi polegającej na logowaniu).

Podsumowanie

✔ Obecnie logowanie przez Google i Facebook jest zgodne z RODO dzięki Ramom Prywatności UE–USA.
✔ Administrator musi spełnić obowiązki informacyjne z art. 13 RODO i ocenić ryzyko transferu danych.
✔ W polityce prywatności należy wskazać zakres danych, odbiorców oraz podstawę transferu do USA.
⚠️ Jeśli TSUE unieważni DPF, logowanie przez Facebook/Google może naruszać przepisy RODO – wówczas administrator powinien zrezygnować z tej opcji.

Podstawa prawna

  • art. 6 ust. 1 lit. b, art. 13, art. 35, art. 45 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)

Tematy porad zawartych w poradniku

  • logowanie przez Facebook RODO
  • rejestracja przez Google zgodność z RODO
  • transfer danych osobowych do USA 2025
  • polityka prywatności logowanie społecznościowe

Przydatne linki urzędowe

Ostatnia aktualizacja: 28.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: