По ПД проекты не защищал, но немного слышал.
Во-первых все пользователи должны поставить галочку с обработкой своих ПД согласен, причем по моему должен быть список какие именно ПД он согласен обрабатывать.
Во-вторых, по духу закона у пользователя должна быть возможность отозвать разрешение на обработку своих ПД и быть точно уверенными что их удалят (ну последнее ложится на плечи эксплуатирующей админку организации, но кнопочку хорошо бы предусмотреть, которая хотя бы емейл шлёт)
В-третьих по хорошему каждое место сотрудника работающего с чужими ПД должно быть защищено по ПД (это оф. процедура, достаточно много компаний её проводят — они расскажут какие технологии следуют применять получше меня).
В-четверых, я уже не уверен, но здорово было бы, что бы опять же вся система была сертифицирована по ПД в РФ (http://goo.gl/AvkNWn — вот тут кто-нидь со списками поможет)