Добавлю к Де-Юре:
1. Передавать 3м лицам без явного Вашего согласия нельзя.
2. Обработкой считается любое действие с Вашими данными (включая чтение их с анкеты) в бумажном виде. В ФЗ по этому пункту вообще нет указаний на СУБД.
3. Данные можно де-персонализировать (т.е. не связывать их конкретно с Вами) — тогда они перестают быть персональными и не попадают под ФЗ.
4. Закон так же определяет разные типы данных (конфиденциальные, персональные, полученные из открытых источников и де персонализированные) и требования к ним кол всем разные по обработке и хранению.
Де-Факто:
КМК — все это пока не работает.