Eleven Million Zloty for a Contract That Never Existed: The DPD Fine and Your Chain of Sub-Processors

Wyobraź sobie zwykłą paczkę. Karton, taśma, na wierzchu etykieta adresowa: imię i nazwisko odbiorcy, ulica, numer telefonu, czasem dopisek „prezent — nie otwierać przy dziecku". Paczka jedzie z sortowni do sortowni, a na jednym z odcinków trasy przeładowuje ją kierowca, który nie jest pracownikiem firmy kurierskiej. To przewoźnik zewnętrzny, podwykonawca transportowy, ktoś, kogo nazwiska odbiorca nigdy nie pozna. W trakcie załadunku i rozładunku ten człowiek widzi etykietę. Trzyma w rękach cudze dane osobowe. I właśnie w tym banalnym, codziennym momencie zaczyna się sprawa, która skończyła się karą przekraczającą jedenaście milionów złotych.

Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska sankcje o łącznej wysokości ponad 11 mln zł — decyzja DKN.5112.1.2023. To jedna z najwyższych kar w polskiej historii stosowania RODO, a jej najciekawsza cecha jest taka, że nie stoi za nią żaden spektakularny wyciek, żaden atak ransomware, żadne włamanie do bazy. Nie wykradziono milionów rekordów, nie sparaliżowano systemu, nie pojawił się okup na ekranie. Kara dotyczy czegoś znacznie bardziej prozaicznego i znacznie groźniejszego w skutkach dla zwykłej organizacji: dokumentów, których zabrakło, i procedur, które istniały tylko na papierze, a w praktyce niczego nie zabezpieczały. To kara za nieobecność. A nieobecność umowy, upoważnienia czy weryfikacji jest dolegliwością powszechną — dotyka samorządu, spółki komunalnej, szpitala i każdej MŚP, która kiedykolwiek podpisała z dostawcą umowę i nie zajrzała do załącznika o ochronie danych.

Anatomia kary: dwa naruszenia, jedenaście milionów

Decyzja UODO rozbija się na dwa odrębne wątki, każdy z osobną kwotą. Pierwszy, najcięższy, to brak umów powierzenia przetwarzania danych osobowych z zewnętrznymi przewoźnikami — za to naruszenie organ wymierzył 6 251 000 zł. Drugi to nieskuteczne upoważnienia pracowników do przetwarzania danych — kolejne ponad pięć milionów. Razem przekroczono jedenaście milionów, a obie kwoty wynikają z tego samego, fundamentalnego nieporozumienia co do natury obowiązków administratora: że bezpieczeństwo danych to nie tylko firewall i hasło, ale przede wszystkim formalna kontrola nad tym, kto, na jakiej podstawie i w czyim imieniu te dane przetwarza.

DPD Polska korzystała z usług zewnętrznych przewoźników — w decyzji opisanych jako przewoźnicy liniowi (LNH) — bez uprzedniego zawarcia z nimi umów powierzenia. Spółka stała na stanowisku, że przewoźnicy ci nie przetwarzają danych w rozumieniu RODO, bo przecież „tylko" przewożą paczki. UODO ten pogląd odrzucił. Przewoźnicy uczestniczyli w załadunku i rozładunku przesyłek, a więc mieli dostęp do etykiet adresowych zawierających dane osobowe. Skoro mieli dostęp i działali na zlecenie administratora, są podmiotem przetwarzającym, a relacja z nimi musi być uregulowana umową powierzenia spełniającą wymogi art. 28 ust. 3 RODO. Nie była. I to wystarczyło.

Wysokość kary nie jest przypadkiem ani ekscesem. Wpisuje się w wyraźną linię, którą Prezes UODO konsekwentnie utrzymuje: mniej decyzji, ale za to znacznie dotkliwszych. W 2024 roku łączna suma nałożonych kar sięgnęła równowartości ponad trzech milionów euro, niemal podwajając dorobek poprzednich lat razem wziętych, a organ otwarcie deklaruje, że sankcja ma być skuteczna, proporcjonalna i odstraszająca — co w praktyce oznacza kwoty, które członek zarządu zapamięta. Sprawa DPD jest sygnałem adresowanym nie do branży kurierskiej, lecz do każdego administratora: brak elementarnej dokumentacji powierzenia przestał być traktowany jako uchybienie porządkowe, a stał się naruszeniem wycenianym w milionach. To zmiana tonu, którą lekceważy się na własny koszt.

Umowa powierzenia to nie załącznik do segregatora

Tu dochodzimy do sedna, które umyka większości organizacji. Umowa powierzenia przetwarzania danych osobowych — uregulowana w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO — bywa traktowana jak kolejny papier do podpisania przy okazji umowy głównej. Wzór ściągnięty z internetu, podpis, segregator, zapomnienie. Tymczasem to instrument, który przenosi część realnej odpowiedzialności i wyznacza granice, w jakich procesor może w ogóle dotknąć cudzych danych.

Artykuł 28 ust. 3 RODO wymienia obowiązkowy zakres takiej umowy: przedmiot i czas przetwarzania, charakter i cel, rodzaj danych i kategorie osób, których dane dotyczą, a także konkretne zobowiązania procesora — przetwarzanie wyłącznie na udokumentowane polecenie administratora, zapewnienie poufności osobom upoważnionym, wdrożenie środków bezpieczeństwa z art. 32, pomoc administratorowi w realizacji praw podmiotów danych, usunięcie lub zwrot danych po zakończeniu współpracy oraz udostępnienie informacji niezbędnych do wykazania zgodności i poddanie się audytom. Brak choćby części tych elementów oznacza, że umowa nie spełnia wymogów. Brak całej umowy — jak w przypadku DPD — oznacza, że dane trafiają do podmiotu zewnętrznego w próżni prawnej, bez jakiegokolwiek zobowiązania po jego stronie i bez jakiejkolwiek kontroli po stronie administratora.

To nie jest formalność. To jest moment, w którym administrator albo zachowuje władzę nad swoimi danymi, albo ją oddaje, nie zdając sobie z tego sprawy. UODO konsekwentnie traktuje brak umowy powierzenia jako naruszenie samodzielne — niezależne od tego, czy doszło do jakiejkolwiek szkody. Nie trzeba wycieku. Wystarczy, że relacja istniała, a dokumentu nie było.

Kto naprawdę dotyka twoich danych

Sprawa DPD obnaża słabość, którą widzimy w niemal każdym audycie: organizacje nie wiedzą, kto faktycznie przetwarza ich dane. Mapa przepływów istnieje w głowach kilku osób, nigdy nie została spisana, a kolejne umowy zawierają działy zakupów, IT i administracji niezależnie od siebie, bez wspólnego rejestru. Pytanie „komu powierzamy dane i na jakiej podstawie" pada zwykle dopiero wtedy, gdy przychodzi kontrola albo gdy coś się wydarzy.

Przewoźnik liniowy w sprawie DPD to symbol szerszego zjawiska. W każdej organizacji istnieje cała warstwa podmiotów, które „tylko" coś robią przy okazji i dlatego umykają uwadze. Firma sprzątająca, która ma dostęp do biurek z dokumentami. Serwisant kopiarki, który zabiera urządzenie z dyskiem pełnym zeskanowanych pism. Zewnętrzna księgowość, kancelaria prawna, agencja marketingowa wysyłająca newsletter, dostawca hostingu, na którym stoi strona z formularzem kontaktowym, firma archiwizująca papierowe akta, podmiot niszczący nośniki. Każdy z nich dotyka danych. Każdy wymaga albo umowy powierzenia, albo świadomej decyzji, że jest odrębnym administratorem i powierzenie nie zachodzi. Czego nie wolno robić, to nie zadawać tego pytania w ogóle — bo wtedy odpowiedź ustala za nas organ nadzorczy, i to po cenie liczonej w milionach.

Najgroźniejsze są relacje pozornie nieoczywiste. DPD przegrała właśnie dlatego, że uznała przewoźnika za kogoś spoza świata danych osobowych. Tymczasem RODO nie patrzy na to, jak nazywamy usługę, tylko na to, czy w jej trakcie ktoś ma dostęp do danych i działa na nasze zlecenie. Etykieta na paczce to dane osobowe. Lista uczniów przekazana firmie cateringowej to dane osobowe. Zrzut bazy mieszkańców wysłany dostawcy systemu dziedzinowego „do testów" to dane osobowe, i to często szczególnej kategorii.

Podpowierzenie: odpowiadasz za cały łańcuch, nie za pierwsze ogniwo

Sprawa DPD prowadzi prosto do tematu, który w 2026 roku stał się jednym z najtrudniejszych obszarów zgodności: podpowierzenia. Współczesne usługi to nie relacja dwustronna, tylko łańcuch. Administrator powierza dane procesorowi, ten korzysta z infrastruktury chmurowej innego dostawcy, ów dostawca z podwykonawców utrzymania, a gdzieś na końcu siedzi support, który loguje się do systemu z drugiego kontynentu. Artykuł 28 ust. 2 i 4 RODO reguluje tę kaskadę: procesor nie może zaangażować kolejnego podmiotu przetwarzającego bez zgody administratora — ogólnej albo szczegółowej — a na każdy kolejny podmiot trzeba nałożyć te same obowiązki ochrony danych, które ciążą na pierwszym procesorze.

Kluczowa, a notorycznie pomijana zasada brzmi: administrator odpowiada za cały łańcuch przetwarzania, nie tylko za jego pierwsze ogniwo. Nie wystarczy zweryfikować bezpośredniego dostawcę i uznać sprawę za zamkniętą. Trzeba wiedzieć, kto stoi za nim, i mieć mechanizm, który pozwala się o zmianach dowiedzieć — najczęściej jest to klauzula ogólnej zgody na podpowierzenie połączona z obowiązkiem informowania o nowych podwykonawcach i prawem sprzeciwu. Umowa podpowierzenia musi przy tym wskazywać nie tylko dane procesora, ale i administratora; podwykonawca na końcu łańcucha powinien wiedzieć, czyje dane i w czyim imieniu przetwarza. W przeciwnym razie cała konstrukcja gwarancji się rozsypuje, bo ostatnie ogniwo działa, nie wiedząc komu i za co odpowiada.

Dla organizacji oznacza to przesunięcie ciężaru z jednorazowego podpisu na proces ciągły. Weryfikacja podmiotu przetwarzającego nie jest aktem zawarcia umowy — jest obowiązkiem trwającym przez cały czas współpracy. Dostawca, który dawał gwarancje w dniu podpisania, mógł od tego czasu zmienić poddostawcę, przenieść serwery, paść ofiarą incydentu albo zacząć korzystać z modelu AI trenowanego na powierzonych danych. Administrator, który podpisał umowę i przestał patrzeć, formalnie ma dokument, ale faktycznie stracił kontrolę — a to właśnie kontroli, nie dokumentu, wymaga RODO.

„Automat to za mało" — upoważnienia, które niczego nie znaczyły

Drugi filar kary dla DPD jest pod względem edukacyjnym jeszcze ciekawszy, bo pokazuje, jak procedura formalnie istniejąca może być w oczach organu warta tyle co jej brak. W spółce nowi pracownicy otrzymywali upoważnienia do przetwarzania danych automatycznie: po przejściu szkolenia online i zaliczeniu testu system teleinformatyczny generował plik, który miał udawać upoważnienie. Problem w tym, że — jak ustalił UODO — dokument ten nie zawierał elementów, które czynią z upoważnienia upoważnienie: imienia i nazwiska osoby upoważnianej oraz podpisu osoby nadającej uprawnienie. Co więcej, w spółce nie wyznaczono osoby uprawnionej do nadawania upoważnień, co samo w sobie naruszało obowiązującą politykę ochrony danych oraz zasady poufności i rozliczalności.

Sens upoważnienia wynika z art. 29 oraz art. 32 ust. 4 RODO: osoby działające z upoważnienia administratora mogą przetwarzać dane wyłącznie na jego polecenie. Upoważnienie jest aktem, w którym konkretnej, imiennie wskazanej osobie nadaje się dostęp do określonego zakresu danych — i jednocześnie dokumentem rozliczalności, dowodem, że administrator panuje nad tym, kto i do czego ma dostęp. Automatycznie wygenerowana, bezosobowa formułka tego nie realizuje. Nie wiadomo, kto kogo upoważnił, do czego i kiedy; nie ma śladu decyzji człowieka. Z punktu widzenia art. 5 ust. 2 RODO — zasady rozliczalności — taki „automat" jest pustym gestem. Administrator nie potrafi wykazać, że kontroluje dostęp, bo dostępem zarządza skrypt, a nie świadomie działająca osoba.

To lekcja, która boleśnie uderza w organizacje przekonane, że skoro „mają procedurę", to są bezpieczne. Procedura, która generuje dokumenty bez treści, jest gorsza niż jej brak, bo usypia czujność. Daje złudzenie zgodności, której w istocie nie ma. Rozliczalność z RODO to nie posiadanie plików o właściwych nazwach — to zdolność udowodnienia, że za każdym dostępem do danych stoi świadoma, udokumentowana i odwracalna decyzja administratora.

Dlaczego ta decyzja budzi spór

Uczciwość wobec czytelnika wymaga powiedzenia, że decyzja w sprawie DPD nie jest przez środowisko przyjmowana bezkrytycznie. Część prawników podnosi wątpliwości — zarówno co do kwalifikacji przewoźników liniowych jako podmiotów przetwarzających, jak i co do rozumienia pojęcia „osoby upoważnionej do przetwarzania". Pojawia się pytanie, czy każdy, kto przy okazji wykonywania usługi transportowej zobaczy etykietę, automatycznie staje się procesorem wymagającym pełnej umowy powierzenia, czy też istnieją sytuacje incydentalnego, technicznego kontaktu z danymi, które takiej kwalifikacji nie wymagają. UODO doprecyzował część tych kwestii na prośbę redakcji prawniczych, ale — jak przyznają komentatorzy — nie rozwiał wszystkich wątpliwości.

Dla praktyka płynie z tego wniosek dwojaki. Po pierwsze, granica między „odrębnym administratorem", „podmiotem przetwarzającym" a „osobą upoważnioną" bywa subtelna i wymaga analizy konkretnego przepływu, a nie mechanicznego stosowania szablonu. Po drugie — i ważniejsze — w warunkach niepewności interpretacyjnej rozsądny administrator wybiera ostrożność. Jeśli organ nadzorczy skłania się ku szerokiemu rozumieniu powierzenia, taniej i bezpieczniej jest zawrzeć umowę tam, gdzie istnieje choćby cień wątpliwości, niż bronić tezy o jej zbędności przed Prezesem UODO, a potem przed sądem administracyjnym. Spór prawny toczy się na sali, ale ryzyko ponosi organizacja. Mądry administrator nie czeka, aż linia orzecznicza się ustabilizuje — projektuje swoją dokumentację tak, by wytrzymała tę interpretację, która jest dla niego najmniej korzystna.

Samorząd i spółki komunalne: ta sama lekcja, większa skala

Sprawa DPD jest spektakularna z powodu kwoty, ale mechanizm, który za nią stoi, najmocniej dotyka tych podmiotów, o których media piszą najrzadziej — jednostek samorządu terytorialnego i spółek komunalnych. Urząd gminy, starostwo, ośrodek pomocy społecznej czy zakład wodociągów to administratorzy danych o ogromnej wrażliwości: dane mieszkańców, podatników, świadczeniobiorców, dzieci w szkołach, pacjentów przychodni. A jednocześnie to organizacje, które niemal wszystko realizują rękami zewnętrznych dostawców — systemów dziedzinowych do podatków i ewidencji ludności, EZD, hostingu BIP, firm archiwizujących i niszczących dokumenty, dostawców oprogramowania księgowego, operatorów ePUAP-owej obsługi.

Każda z tych relacji to powierzenie. Każda wymaga umowy spełniającej art. 28 ust. 3 RODO, weryfikacji gwarancji dostawcy i kontroli nad podpowierzeniem. A praktyka bywa odwrotna: umowy zawierane lata temu, na wzorach sprzed nowelizacji, bez aktualizacji listy podprocesorów, bez rejestru, bez świadomości, że dostawca systemu trzyma kopie zapasowe w chmurze podmiotu, którego nazwy nikt w urzędzie nie zna. Gdyby Prezes UODO zastosował do typowego urzędu tę samą logikę, którą zastosował wobec DPD, znalazłby nie jedno, lecz kilkanaście brakujących lub wadliwych umów. To samorząd opisaliśmy zresztą w analizie kary dla gminy za zaniedbania wokół BIP i kontroli sektorowych — wątek powierzenia jest tej historii naturalnym przedłużeniem.

Skala problemu rośnie wraz z brakiem zasobów. Mała gmina nie ma działu prawnego ani etatowego specjalisty od ochrony danych, a inspektor ochrony danych obsługuje czasem kilkanaście jednostek naraz. W tych warunkach systematyczny audyt umów powierzenia nie wydarzy się sam — wymaga albo wewnętrznej decyzji i czasu, którego nie ma, albo wsparcia z zewnątrz. Model outsourcingu funkcji IOD i Pełnomocnika ds. bezpieczeństwa informacji, który opisaliśmy w poradniku o outsourcingu tych ról, powstał właśnie po to, by takie zadania ktoś realnie wykonywał, a nie żeby figurowały w planie.

Gdzie RODO spotyka NIS-2: łańcuch dostaw jako wspólny mianownik

Kara dla DPD pada w momencie, w którym łańcuch dostaw stał się centralnym tematem nie tylko ochrony danych, lecz całego cyberbezpieczeństwa. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS-2, obowiązuje od 3 kwietnia 2026 roku i nakłada na podmioty kluczowe i ważne obowiązek zarządzania bezpieczeństwem w relacjach z dostawcami. To dokładnie ten sam problem co w sprawie DPD, opisany innym językiem: organizacja odpowiada nie tylko za to, co dzieje się wewnątrz jej murów, ale za cały łańcuch podmiotów, którym powierza dane lub procesy.

Dla podmiotu objętego NIS-2 zbieżność tych dwóch reżimów jest okazją, a nie ciężarem. Ten sam rejestr dostawców, ta sama analiza ryzyka łańcucha, ta sama weryfikacja gwarancji służą jednocześnie zgodności z art. 28 RODO i obowiązkom z UKSC. Kto buduje to raz i porządnie, zabija dwie pieczenie. Kto traktuje RODO i NIS-2 jako osobne projekty dla osobnych zespołów, płaci podwójnie i i tak zostawia luki na styku. O tym, jak ustalić, czy w ogóle podlega się nowym obowiązkom i jak dokonać wpisu do wykazu, pisaliśmy w analizie samoidentyfikacji w ramach NIS-2.

Konwergencja idzie dalej. Trwające prace nad pakietem Digital Omnibus i ewolucja przepisów o ochronie danych nie zmieniają fundamentu: administrator pozostaje punktem, w którym zbiega się odpowiedzialność za całą kaskadę przetwarzania. Niezależnie od tego, jak zmieni się litera przepisu, pytanie „kto dotyka moich danych i czy mam nad tym kontrolę" nie zniknie — przeciwnie, regulator będzie je zadawał coraz natarczywiej.

Audyt umów powierzenia w praktyce

Co z tej historii wynika operacyjnie? Punktem wyjścia jest kompletny rejestr powierzeń — spis wszystkich podmiotów, którym organizacja powierza dane, z przypisaną podstawą, zakresem danych, celem i statusem umowy. To ćwiczenie samo w sobie bywa odkrywcze, bo ujawnia relacje, o których nikt nie pamiętał: dostawcę sprzed pięciu lat, narzędzie chmurowe wdrożone przez jeden dział bez wiedzy reszty, firmę kurierską przewożącą dokumenty między oddziałami. Rejestr to nie biurokracja — to mapa rzeczywistego ryzyka.

Następnie każdą pozycję trzeba ocenić pod trzema kątami. Czy istnieje umowa i czy zawiera pełen zakres z art. 28 ust. 3 RODO. Czy dostawca daje wystarczające gwarancje wdrożenia środków bezpieczeństwa — i czy ktoś to realnie zweryfikował, a nie tylko przyjął deklarację. Oraz czy uregulowano podpowierzenie: czy wiemy, z jakich podwykonawców korzysta procesor, czy mamy mechanizm informowania o zmianach i prawo sprzeciwu. Do tego dochodzi warstwa wewnętrzna, którą obnażyła sprawa DPD: czy upoważnienia są imienne, nadawane przez wyznaczoną osobę i udokumentowane tak, by dało się wykazać rozliczalność. Automat zaliczający test to za mało — musi istnieć ślad świadomej decyzji człowieka.

Osobnej uwagi wymaga moment zakończenia współpracy, bo to wtedy umowy powierzenia najczęściej okazują się martwe. Artykuł 28 ust. 3 lit. g RODO nakazuje, by po wygaśnięciu relacji procesor usunął lub zwrócił dane — a tymczasem w praktyce dostawca, z którym rozstaliśmy się dwa lata temu, wciąż może trzymać kopię bazy na serwerze, o którym nikt już nie pamięta. Audyt powierzenia, który nie obejmuje byłych dostawców, jest niekompletny: dane nie znikają w chwili rozwiązania umowy, znikają dopiero wtedy, gdy ktoś świadomie dopilnuje ich usunięcia i odbierze na to potwierdzenie.

Wreszcie najważniejsze: audyt powierzenia nie jest zdarzeniem jednorazowym. Dostawcy się zmieniają, łańcuchy się wydłużają, technologie ewoluują — wczorajsza zgodność nie gwarantuje dzisiejszej. Weryfikacja procesora to obowiązek ciągły, wpisany w rytm pracy organizacji: przegląd rejestru przy każdej nowej umowie, cykliczna kontrola istniejących relacji, reakcja na sygnały o zmianach po stronie dostawców. Organizacja, która robi to systematycznie, nie tylko unika kary — odzyskuje coś cenniejszego, czyli realną wiedzę o tym, gdzie są jej dane.

Dlaczego z Fib.Code

W Fib.Code łączymy trzy kompetencje, które w sprawach takich jak DPD rzadko spotyka się w jednym miejscu: znajomość prawa ochrony danych i cyberbezpieczeństwa, doświadczenie audytowe według ISO/IEC 27001 oraz praktykę wdrożeniową w sektorach o najwyższej wrażliwości — w samorządzie, spółkach komunalnych, sądownictwie i MŚP. Nie czytamy RODO jak zbioru zakazów, tylko jak mapy realnego ryzyka, które trzeba przełożyć na konkretne dokumenty i procesy.

Pracujemy według trzech zasad. Po pierwsze, zaczynamy od rzeczywistości, a nie od szablonu — najpierw ustalamy, kto faktycznie dotyka danych w danej organizacji, a dopiero potem dobieramy konstrukcję prawną. Po drugie, projektujemy dokumentację tak, by wytrzymała najmniej korzystną interpretację organu, nie najwygodniejszą dla nas. Po trzecie, budujemy procesy, które działają po naszym wyjściu — rejestr, który ktoś będzie aktualizował, i upoważnienia, które nadaje człowiek, a nie skrypt. Produktem końcowym nie jest segregator, tylko sprawdzalna, utrzymywana w czasie zgodność: rejestr powierzeń, komplet umów spełniających art. 28 RODO, uregulowane podpowierzenie i rozliczalny system upoważnień.

Co zrobić w ten tydzień

Zwołaj jedno spotkanie — najlepiej jeszcze w tym tygodniu — z udziałem osoby odpowiedzialnej za zakupy, IT i ochronę danych, i zadaj na nim jedno pytanie: czy mamy kompletną, aktualną listę wszystkich podmiotów, którym powierzamy dane osobowe. Jeśli odpowiedź brzmi „chyba tak" albo „trzeba by sprawdzić", masz właśnie zlokalizowane swoje największe ryzyko. Wskaż jedną osobę odpowiedzialną za stworzenie rejestru powierzeń i wyznacz jej termin — dwa tygodnie wystarczą na pierwszą, surową wersję. Równolegle sprawdź jedną rzecz, którą można zweryfikować w godzinę: czy upoważnienia do przetwarzania danych w twojej organizacji są imienne i podpisane przez wyznaczoną osobę, czy generuje je automat po szkoleniu. Jeśli to drugie — wiesz już, że masz problem dokładnie tej samej natury co DPD, tylko jeszcze bez kary.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: kara UODO dla samorządu wokół BIP i kontrole sektorowe, outsourcing IOD i Pełnomocnika ds. bezpieczeństwa informacji, samoidentyfikacja w ramach NIS-2 i wpis do wykazu — krótkie spięcie tematyczne wokół powierzenia, łańcucha dostaw i rozliczalności.