Массовая генерация персональных PDF-сертификатов: как разработчику соблюсти закон о персональных данных РФ

Мы разработали приложение, которое массово генерирует персонализированные PDF-сертификаты дипломы, грамоты, бейджи, справки, приглашения по PDF-шаблону и таблице участников. Для создания сертификата в приложение должна быть загружена Эксель таблица с ФИО участников, кому выданы сертификаты. Также в таблице могут быть и другие личные данные: дата рождения, курс по которому проведено обучение и т.д. С точки зрения законодательства РФ в части защиты личных данных, какие действия мы, как разработчики и вендор должны предпринять, чтобы соблюсти законность? Какие обязательства мы должны соблюсти?