А нельзя просто сделать роли просмотра определенных данных и просто не показывать менеджерам данные, за неимением доступа к ним. А у кого доступ есть(по умолчанию сам пользователь + роль доступа к данным пользователя у каких-то менеджеров) тот может видеть данные. И ничего шифровать по идее не надо будет.
