Персональные данные и законодательство

Уважаемые коллеги, наболевший у всех штатных специалистов вопрос безопасности ПДн.
С ПДн, обрабатываемыми без средств автоматизации, – сходил на курсы, почитал, погуглил, разобрался (если что – готов помочь).
С защитой ИСПДн всё хуже.
Основной вопрос – с защитой ПДн и применением криптографии.
Вот моё пессимистичное мнение: обязательность применения средств криптографии формально, вроде бы, нигде не прописана, но ч. 1 ст. 19 ФЗ о ПД реализовать без криптографии, по сути, нельзя. Ведь, что бы защититься по-хорошему, надо шифровать данные на сервере, канал между пользователями 1С и сервером, и т. д. и т. п. К тому же, если мы передаём ПДн по каналам связи (между филиалами), мы обязаны придерживаться ПКЗ-2005, а значит – применять только убогие сертифицированные криптографические СЗИ.
А по скольку это – деятельность по защите информации – мы должны получить и лицензию на ЗИ по ФЗ о лицензировании отдельных видов деятельности, либо прибегнуть к помощи дорогих друзей, оказывающих такие услуги, которые с радостью аттестуют каждое рабочее место с 1С-кой, что выльется в сотни тысяч рублей (если не перевалит за лимон). + опять таки, убогое ПО.

Я прошу меня в моём пессимизме разубедить, если это возможно. Подкрепив доводы ссылками на законы и статьи. Это нужно многим! Мы обрабатываем автоматизированно только ПДн сотрудников. Юристы, с которыми консультировался, точного ответа дать не могут. За то ФСТЭК однозначно говорит в пользу лицензии, но я говорил с технарями, они чего-то могут не знать, а что-то могут и сознательно привирать.

Итак, суть вопроса: почему мы, оперируя только ПДн своих сотрудников, не обязаны получать лицензию на ЗИ или обращаться соответствующим компаниям для защиты ПДн при автоматизированной обработке? Почему мы не обязаны использовать только сертифицированные криптографические СЗИ?

Заранее спасибо всем, кто ответит на такой сложный и неоднозначный вопрос.