Безопасность персональных данных: какие документы нужны для моей системы?

Есть программный продукт. Суть в том, что приходит клиент, заполняет на компе анкету (ФИО, тел, паспортные данные, адрес), далее в печать отправляется договор с этими данными (данные паспорта и адрес не отправляются на сервер, средствами js вставляются в форму выводятся на печать и после печати удаляются, на сервере храним только ФИО, тел, ну и данные о том когда клиент у нас был и какими услугами пользовался).
Программа выполняется в браузере, сервер на php, клиент html+css+js, отправка через https, расположена на VDS у хостера.

Вопрос в следующем. Сейчас полез в доки по защите персональных данных - аж страшно стало. Чтобы оценить риски нужно проделать огромное количество работы. И вот начинаю сомневаться, точно ли это применимо к нашей системе.
Например, классификация по типу ИСПДн, на которые направлена реализация УБПДн.

Считается ли такая система АРМ или локальной/распределённой системой?
Ведь по-сути сама по себе обработка ПДн ведется на сервере - то есть на одном устройстве? Или клиентские компы считаются такими устройствами? Запутался ((

Смотрю форумы, там как правило приводят в пример локальное ПО, а если система представляет из себя сайт в Интернете - как быть? Как классифицировать?

Расскажите о Вашем опыте, как вообще работаете с ПДн, какие доки нужны де-юре и какие готовят де-факто? Сталкивались ли с проверками/штрафами по этому поводу? Насколько глубоко проверяют вообще?
Какие меры применимы для подобной моей системы вообще чтобы всё было правильно?