För att besvara din fråga...
Det du säger kan låta rimligt för inloggning, men i det generella fallet är det rimligt att GDPR är så här, och GDPR är redan tillräckligt krångligt som det är, så vi behöver inga fler specialfall. 😅
För att förtydliga så är det principiellt sidan som användaren besöker som är huvudansvarig - den agerar service-provider till slutanvändaren.
Sidan du besöker, i detta fallet en EU-ägd statlig sida, kan välja att samarbeta med andra service-providers i tredjepart, exempelvis för inloggning som i detta fallet, men är då skyldiga att redogöra för exakt vilka dessa tredjepartsaktörer är, vilken del av din data som dessa får ta del av, samt vad den rimliga anledningen är till varför de får ta del av din data. (Samt vad du behöver göra för att få din data raderad.)
Det är först efter att EU har begärt av Meta att "den här data vi skickar över till er från våra användare får ni bara lagra inom EU - och bara använda för dessa ändamål" som det börjar bli Meta's fel om data hamnar utanför EU. Men i detta fallet hade EU inte koll på vart Meta skickade användaruppgifterna - vilket direkt bevisar att de inte avtalat med Meta eller på annat vis säkerställt hur uppgifterna skulle hanteras, vilket betyder att EU brustit i sin del av ansvaret.
Mer information...
Andra exempel på tredjepartsaktör är vilket webbhotell sidan ligger på - ligger sidan t.ex. upplagd på Amazon Web Services och loggar data så som inloggningskonton, så måste databasen som lagrar den informationen ligga på europeisk mark. Samma sak med annons-tracking om den inte är super-duper anonymiserad.
För övrigt angående anonymiserad data så är GDPR extremt strängt när det kommer till vad som klassas som anonymiserat.
Totalt oavsett hur obskyr och komplex metoden än är som en person skulle behöva gå igenom för att lista ut vem en bit data tillhör så klassas den som icke-anonym om det är en teoretiskt genomförbar metod - det finns ingen gråzon, GDPR är absolut i sin dataklassning.
Exempel: Om du när du besöker en sida får ett "anonymt" slumpgenererat id tilldelat till dig, och sidan du besöker använder det id-värdet för att tracka vilken reklam som ska visas, och det värdet går att hitta i någon trafiklogg över huvud taget, hos vilken server som helst - även servrar som sidan du besöker inte äger, som på något vis går att associera till den IP-adressen du använde just då, så är det id-värdet inte klassat som anonymt enligt GDPR.
Alla som läst så här långt tänker säkert att det inte kan vara så, för då skulle det säkerligen finnas massor av sidor som bryter mot GDPR - och det är helt korrekt, det finns massor av sidor som bryter mot GDPR, inte äns EU själva lyckas få det rätt.
Ett litet sidospår....
Jag var på en väldigt intressant presentation förra året, genomförd av statistiska centralbyrån i Norge, de skulle sammanställa betygsstatistiken för alla skolor i landet, och berättade hur de fick så mycket problem med att säkerställa att det verkligen var 100% omöjligt att via den samlade betygsstatistiken de presenterade matematiskt härleda fram vad någon enda enskild medborgares betyg var, att de tillslut fick koda en matematisk-solver applikation som försökte "angripa problemet" och statistiskt beräkna fram betyget för enskilda individer på alla möjliga sätt. Både för att säkerställa att all presenterad data faktiskt blev anonym, men också för att de jagade den minsta möjliga anonymisering som kunde genomföras utan att något betyg gick att härleda. Det var ett för stort problem att på ett säkert sätt lösa med bara mänsklig tankekraft. I slutändan var de tvungna att utelämna ganska mycket statistik i sin rapport, mer än man kanske skulle kunna tro.
Om det låter helt osannolikt, tänk på att man ville rapportera mångfasetterad data, t.ex. betyg i olika åldersgrupper, geografiska regioner, utbildningsprogram, kön, välstånd, yrkesgrupper osv. - tro mig det är helt otroligt hur väl det går att härleda fram data för en enskild individ när man har så många parametrar och värden, trotts att varje enskilt värde är någon form av medelvärde.
Avslutningsvis:
Det kanske är självklart, men jag poängterar ändå att det säkert finnas något fel ovan.
GDPR är krångligt.
