Если все было бы так просто то никто бы кипеша и не подымал)))
Читаем закон - http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html
1. статья 7 п.1 - Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. статья 19 п.1 - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных (ПД), а также от иных неправомерных действий.
Отсюда возникает вопрос - каким образом оператор докажет, что он принял необходимые меры по защите ПД?
Если у вас все храниться в сейфе, к вам придет проверка и скажет, ребята покажите как вы защищаете ПД. Вы им указываете на сейф.. они смотрят на него и говорят покажите нам документы, которые подтверждают, что ваша система соответствует всем рекомендациям? и вы плавно пролетаете на штраф.
Для того, что бы это не случилось у вас должна быть аттестированная система, в которой обрабатываются ПД. (смотри законы о Конфединциальной информации).
Система должна быть аттестирована по самому низкому уровню защиты - 1Д, а для этого у вас на предприятии должна быть сделана соответствующая служба безопастности, которая выполняет определенные функции.
Для того, что бы аттестировать систему по уровню защиты нужно подготовить кучу документов согласно СТР-К (данный документ есть только у специализированных компаний, у которых есть специальные лицензии). В интернете лежит старая версия СТР-К можно ее изучить.
Можно обраьтиться в контору которая на этом специализируется и они все за вас сделают, кро ме этого нужно помнить, что система должна обслуживаться (это тоже лицензируется)), поэтому либо сами получаете лицензию либо подписываете договор с конторой у которой есть лицензия).