2 SHRDLU:
согласно ст.22 п.2
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения...так что в некой абстрактной организации, по-моему, можно спокойно пользоваться сабжем. И похоже, по закону, согласно этому пункту, можно вообще не использовать никаких мер защиты, т.к. все-равно это никто не сможет толком контролировать. Втроенный в венде файервол тоже защита (ха-ха-ха!), поди обвини руководителя, что не предпринял мер защиты перс. информации :)