Habría que ver la regulación de tu país, pero en principio si sólo dice que las contraseñas se deben encriptar, no hace diferenciación alguna al origen de la misma.
Por otro lado, es algo medio de cajón: Una contraseña SIEMPRE se encripta, aunque más no sea por seguridad...

En cuanto a "dato personal", tienes que acudir a tu legislación. En mi país (Argentina), por ejemplo, directamente hay datos que NO se pueden guardar, ni aunque te los haya dado el cliente voluntariamente. Tenerlos en tu base de datos es simplemente ilegal.
Otros están prohibidos por las entidades financieras, como por ejemplo los códigos de seguridad y los números de tarjetas. Para eso proveen las intefases de validación, que cuentan con protocolos de aseguramiento.