La legge distingue il "responsabile" del trattamento dal "titolare" del trattamento.
Il responsabile del trattamento è quello che prende i dati per cederli al titolare (nel tuo caso, tu sei il responsabile mentre il provider è il titolare).
I dati personali che acquisisci li devi tenere per il tempo necessario a compiere ciò che sei stata incaricata di fare. Dopodiché li distruggi e sei a posto.
Hai l'obbligo dell'informativa che puoi inserire nel contratto. Inserisci le basi giuridiche ("ai sensi dell'articolo ...[cercalo]") e i dati che prendi e le finalità per cui le prendi. Indichi per quanto tempo li detieni e stop.
Le aziende sopra i 250 dipendenti sono tenute ad avere un registro, ma evidentemente non è il tuo caso.
Nota: non sono uno specialista, quindi è tutta farina di letture e interpretazioni lette qua e la.