В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).

С такой орфографией лучше ничего не писать. Вообще. Никогда.

1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.
2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)
3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?
4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.

Если делать все по фен-шую, то должна быть разработана куча регламентирующих документов.
В целом ваша последовательность действий в плане тех защиты такая:
— разрабатываете модель угроз, в которой определяете актуальные угрозы;
— исходя из типа угроз (я считаю, что в 99% случаев он третий) по постановлению правительства № 1119 устанавливаете уровень защищенности ИСПДн;
— берете приказ ФСТЭК № 21 и выбираете меры согласно УЗ, который Вы определили, там большое поле для действия, есть базовые меры, есть компенсирующие, можете вообще придумать свои меры, доказав «экономическую нецелесообразность» применения мер из приказа ФСТЭК. Главное чтобы меры (технические и организационные) нейтрализовывали актуальные угрозы;
— обратите внимание, что если ваша организация коммерческая, то вам не обязательно использовать сертифицированные средства защиты (в приказе ФСТЭК написано что-то типа «сертифицированные СЗИ применяются в случае, если это необходимо для нейтрализации актуальных угроз»). Для гос контор просто использование СЗИ определено дополнительно некоторыми другими нормативными актами, поэтому им никуда не деться, но если вы — коммерсы и можете нейтрализовать свои угрозы штатным средствами ОС (идентификация и аутентификация пользователей средствами AD например) или с помощью свободного ПО (squid и тд), то и флаг вам в руки!

Что касается «бумажной» защиты ПДн, то тут все целиком в 152-ФЗ написано. У вас должны быть назначены ответственные лица, определен перечень лиц, допущенных к работе с перс данными, разработано положение о работе с перс данными, ряд инструкций (парольная, антивирусная защита и тд), ряд журналов…