Тут надо покреативить.
1. Определить политику в отношении обработки персональных данных (ее вообще на сайте и вешают)
2. Прописать в соглашении (по галочке) о передаче третье стороне
3. Модель нарушителя проста как 3 копейки, а) проход внутрь периметра сети провайдера, у последнего можно запросить их документы по инфобезу, регламенты итп., доки могут не дать, но если аргументируете правильно и вежливо, то могут и пойти навстречу; б) взлом самого сервера с базой
4. ПД вы, как оператор, обязаны защищать от НСД, для этого вы привлекаете либо хостинг, либо делаете это сами, скажем путем установки сертифицированных средств защиты
Моё ИМХО, коллеги, поправьте, если я не прав где-то.