Кирилл Сидоров
1) Даже если данные открытые (что весьма странно, потому что вы указали данные, которые в любом контексте идентифицируют человека) вы должны получить согласие на их обработку. Так же важен момент того, что пользователь дал вам активное согласие на обработку. То есть если вы написали ему письмо в стиле "Если вы не отказываетесь в течение месяца, мы обрабатываем ваши данные...", то это нарушение.
2) Можете использовать для всего, что разрешит пользователь. Отсюда вывод - расскажите пользователю для чего вы собираете их данные и сколько будете хранить. Один сбор данных - одна цель. Цель реализована - данные удалены.
3) Вопрос сложный. Зависит напрямую от того как вы получили холодных клиентов? Купили базу - штраф. Насобирали свою, не предупреждая о сборе - штраф. Провели акцию и предложили всем участвующим оставить свои данные (заметьте не обязали, а предложили, то есть в акции можно было поучаствовать и не оставляя данных) - все круто, они ваши пока пользователь не уведомил вас об обратном.
Безусловно оштрафовать ваши активы в РФ никто не сможет, но заблокировать ваш ресурс контрольный орган сможет без всяких проблем.
Психология говорит, что излишне критичный человек чаще всего имеет невысокую самооценку и за своей едкой критикой пытается спрятать глубокую эмоциональную уязвимость. Не беспокойтесь, Дмитрий, вы возможно не такой уж плохой разработчик.