W znacznej części przypadków wykonawca, prowadząc wdrożenie systemu ERP, uzyskuje dostęp do danych osobowych przetwarzanych w systemach informatycznych zamawiającego. Nader często z sytuacją taką spotykamy się w przypadku wdrożeń systemów informatycznych w obszarach HR oraz w przedsiębiorstwach świadczących usługi dla osób prywatnych, od wodociągów czy elektrowni poczynając, a na sklepach internetowych kończąc. Z drugiej strony, realizacja umowy wdrożeniowej zazwyczaj wiąże się z przedstawieniem zamawiającemu wielu danych osobowych personelu wykonawcy skierowanego do realizacji prac wdrożeniowych (np. dane personalne pracowników, informacje o odbytych szkoleniach, posiadanych certyfikatach). Niekiedy umowa wdrożeniowa zakłada nawet przekazanie zamawiającemu kompletnych CV pracowników wykonawcy, w celu odpowiedniego doboru konsultantów skierowanych do realizacji projektu.

Zazwyczaj w opisanej powyżej sytuacji, z punktu widzenia regulacji dotyczących ochrony danych osobowych, zamawiający jest administratorem danych zgromadzonych w ramach jego systemów informatycznych, natomiast wykonawca jest administratorem danych osobowych swoich pracowników (konsultantów).

Zauważmy, iż przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w sposób bardzo szeroki definiują pojęcie "przetwarzania" danych osobowych. Zgodnie z ustawą, przez "przetwarzanie" danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, w tym zbieranie, utrwalenie, przechowywanie, zmienianie, udostępnianie, czy usuwanie danych osobowych. W konsekwencji, wykonawca, prowadząc migrację baz danych zawierających np. dane osobowe pracowników czy klientów, lub choćby przeglądając takie dane w związku z pracami serwisowymi, dopuszcza się "przetwarzania" danych osobowych. Podobnie zamawiający, przechowując czy analizując CV pracowników wykonawcy, "przetwarza" dane osobowe tychże pracowników.

Powstaje, zatem, zasadnicze pytanie, jaka jest podstawa prawna tego rodzaju przetwarzania danych osobowych przez wykonawcę oraz zamawiającego? Przepisy ustawy przewidują, iż administrator danych może nie tylko samodzielnie przetwarzać dane osobowe, lecz również zlecić ("powierzyć") przetwarzanie tychże danych osobowych "zewnętrznemu" podmiotowi. Zgodnie z art. 31 ust. 1 ustawy, powierzenie przetwarzania danych osobowych odbywa się na podstawie pisemnej umowy zawartej przez administratora danych z takim podmiotem ("zleceniobiorcą"). A zatem, w powyższym przypadku, strony powinny zawrzeć umowy, na podstawie których zamawiający powierzy wykonawcy przetwarzanie danych osobowych zgromadzonych w swoim systemie informatycznym, a wykonawca powierzy zamawiającemu przetwarzanie danych osobowych swego personelu. W omawianym przypadku, każdy z powyższych podmiotów jest zarówno administratorem danych, jak i podmiotem, któremu powierzono przetwarzanie danych osobowych ("zleceniobiorcą"). Oczywiście, w praktyce powyższe postanowienia mogą znaleźć się w ramach jednego dokumentu umowy, stanowiącego najczęściej załącznik do umowy wdrożeniowej.