Срок приведения информационных систем персональных данных в соответствие с данным законом перенесли на год — с 1 января 2010 г. до 1 января 2011 г., при этом из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
В целом, это правильно. Лучше не защищать вообще всё. Было бы более толковым прописать что именно нужно защищать. Например, номера карт, пароли, доступы к счету и т.п.
Так что пусть пока полежит закон, заодно и поймем что мы защишаем и как, учитывая отмену криптографии.