Skip to content

Načelo odgovornosti po GDPR: kaj morajo evropska podjetja dokumentirati

Odgovornost po GDPR pomeni skladnost dokazati, ne le zatrjevati. Evidence, ki jih morajo evropska podjetja imeti – evidenca obdelave, ocena učinka, politike – in kako jih zgraditi.

Razpršene evidence o obdelavi podatkov se združujejo v eno celovito, preverjeno zbirko dokumentacije o odgovornosti po GDPR, nad obrisom zemljevida Evrope – mornarsko modra in koralna na kremni podlagi.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Večina podjetij skladnost z GDPR razume kot stanje, ki ga doseže – podpiše politiko, doda piškotno pasico, končano. Uredba jo razume kot nekaj, kar morate biti zmožni dokazati. To je načelo odgovornosti in je tiho središče celotnega zakona: po členu 5(2) je podjetje odgovorno za skladnost z načeli varstva podatkov in mora biti to skladnost zmožno dokazati [1]. V praksi je ta dokaz zbirka dokumentov – evidence, ocene, politike in postopki, ki natančno in dosledno opisujejo, kako vaša organizacija dejansko ravna z osebnimi podatki. Za evropsko podjetje brez pravne službe je prav vzpostavitev in vzdrževanje te zbirke resnična naloga GDPR. Ta vodnik pojasnjuje, kaj zbirka vsebuje, zakaj obstaja vsak njen del in kako se obveznost razlikuje po Evropi – vključno s tem, zakaj »evropsko« ni isto kot »britansko«.

Hiter odgovor. Odgovornost po GDPR (člen 5(2)) pomeni, da podjetje ne sme le ravnati skladno z zakonodajo o varstvu podatkov, temveč mora to znati dokazati – z dokumentacijo. Jedro zbirke sestavljajo evidenca dejavnosti obdelave, plast pravne podlage in obvestil o zasebnosti, pogodbe z obdelovalci ter ocena učinka, kjer je tveganje veliko – vse ažurno, prilagojeno podjetju in notranje skladno.

Kaj odgovornost po GDPR dejansko pomeni

Večina obveznosti iz GDPR je v grobem znanih: imejte pravno podlago, ljudem povejte, kaj počnete z njihovimi podatki, hranite jih varno, spoštujte njihove pravice. Odgovornost je načelo, ki te obveznosti iz namer spremeni v nekaj preverljivega. Člen 5(2) določa, da je upravljavec »odgovoren za skladnost … in [da] je [to skladnost] zmožen dokazati« z načeli varstva podatkov, člen 24 pa zahteva, da uvedete ustrezne ukrepe in da ste zmožni dokazati, da je vaša obdelava v skladu z Uredbo [1]. Ključne so besede zmožen dokazati. Skladnost, ki je na zahtevo ne morete pokazati na papirju, ne šteje.

Gre za premik v tem, kje leži dokazno breme. Nadzorni organ, ki začne poizvedbo, poslovna stranka, ki preverja izvajalce, ali partner, ki se pogaja o pogodbi, ne izhaja iz domneve, da ste neskladni – a v trenutku, ko reče »pokažite mi«, je breme predložitve koherentnih dokazov vaše, ne njihovo. Preizkus, ki ga uporabijo, ni preizkus obsega. Mapa splošnih politik ne prepriča nikogar; regulatorji iščejo specifičnost in notranjo skladnost – dokumente, ki opisujejo vašo dejansko obdelavo, poimensko navajajo vaše resnične sisteme in izvajalce ter si ne nasprotujejo. Smernice Evropske komisije za organizacije dolžnost opišejo prav v teh izrazih: dokazovanje skladnosti z evidencami, ocenami učinka in dokumentacijo o kršitvah [2].

Vložek za to besedo ni abstrakten. GDPR odgovornost podpira z upravnimi globami do 20 milijonov EUR ali 4 % skupnega svetovnega letnega prometa, kar je višje, za najhujše kršitve [1]. Za večino majhnih in srednje velikih podjetij pa je ostrejši, pogostejši pritisk komercialne, ne regulativne narave: nabavni postopek ali preverjanje izvajalcev pri večji stranki pred podpisom zahteva vašo evidenco obdelave, vašo pogodbo o obdelavi podatkov in vašo varnostno dokumentacijo – posel pa obstane prav v tednu, ko jih ne morete predložiti. Dokumentacija o odgovornosti je tiho postala pogoj za prodajo večjim organizacijam, ista logika pa velja tudi za zavarovalnice in partnerje. Zato podjetja to zbirko vse pogosteje gradijo proaktivno, kot komercialni dokaz, ki poslovnemu partnerju omogoči, da jim zaupa osebne podatke, namesto da bi čakala, da po njej povpraša regulator.

Odgovornost torej na novo zastavi celotno vajo. Vprašanje ni več »ali smo skladni?« v abstraktnem smislu, temveč »kaj lahko prav zdaj pokažemo o vsaki stvari, ki jo počnemo z osebnimi podatki?« Vse, kar sledi, je odgovor na to vprašanje.

Zbirka dokumentacije: kaj morajo evropska podjetja pokazati

Enotnega »certifikata GDPR« ni. Odgovornost se namesto tega izkazuje z zbirko dokumentov, od katerih je vsak vezan na določeno obveznost in ki skupaj pokrijejo vsako dejavnost, v kateri vaša organizacija obdeluje osebne podatke. Kateri deli so potrebni, je odvisno od tega, kaj počnete – že sama opora na izvajalca pritegne pogodbo z obdelovalcem, obdelava z velikim tveganjem pritegne oceno učinka –, a hrbtenica je pri evropskih podjetjih dosledno enaka.

Preprosto povedano, zbirka se gradi dejavnost za dejavnostjo:

  • Evidenca dejavnosti obdelave, člen 30. Temeljni dokument: popis vsake dejavnosti obdelave – kateri podatki, čigavi, zakaj, na kateri podlagi, s kom se delijo, kako dolgo se hranijo, kaj jih ščiti. Nacionalni organi, kot je francoski CNIL, predloge objavljajo prav zato, ker je to instrument, po katerem najprej posežejo; po besedah regulatorjev je to dokument z namenom popisa in analize, ki mora odražati resničnost vaše obdelave [1][4].
  • Pravna podlaga za vsako dejavnost, člen 6 – in ocena zakonitega interesa. Vsaka dejavnost potrebuje eno od šestih pravnih podlag. Kadar se opirate na zakoniti interes (člen 6(1)(f)), morate dokumentirati tridelni test tehtanja – namen, nujnost in razmerje do pravic posameznika –, disciplino, ki jo je Sodišče potrdilo v sodbi KNLTB iz leta 2024 [1][9].
  • Obvestila o zasebnosti, člena 13–14. Kar poveste osebam, katerih podatke hranite, glede na to, ali ste jih pridobili neposredno od njih ali ne. Obvestilo se mora ujemati z evidenco obdelave; neujemanje med tem, kar poveste, in tem, kar zabeležite, je prav vrsta protislovja, ki ga organ išče [1].
  • Pogodbe o obdelavi podatkov, člen 28. Kadar koli izvajalec obdeluje osebne podatke v vašem imenu – obračun plač, gostovanje v oblaku, platforma za e-pošto –, člen 28 zahteva pogodbo z opredeljenimi določili. Komisija za prav to objavlja uradna standardna pogodbena določila, na katera lahko skladna pogodba gradi [1][5].
  • Zaščitni ukrepi za prenose, poglavje V. Če osebni podatki zapustijo Evropski gospodarski prostor, potrebujete veljaven mehanizem za prenos – sklep o ustreznosti ali standardna pogodbena določila Komisije za mednarodne prenose [1][6].
  • Ocena učinka v zvezi z varstvom podatkov (DPIA), člen 35. Obvezna, kadar obdelava lahko povzroči veliko tveganje – obsežni podatki posebnih vrst, sistematično spremljanje, obsežno profiliranje. Evropske smernice določajo devet meril in dve ali več obravnavajo kot sprožilec; vsak nacionalni organ objavi tudi svoj seznam obvezne ocene učinka [1][3].
  • Postopki, ne le dokumenti. Okoli zbirke so operativni deli: postopek za obravnavo zahtev posameznikov v enomesečnem roku (členi 12–22), postopek ob kršitvi, ki omogoča, da se organ obvesti v 72 urah, kjer je to potrebno (člena 33–34), in notranja politika, ki opisuje tehnične in organizacijske ukrepe za varnost podatkov (člena 24, 32) [1].

To je anatomija. Umetnost je narediti jo vašo – vsako polje sledljivo do nečesa resničnega o vašem podjetju – in ne mapa navidez verodostojnega, a splošnega besedila.

Ena uredba, mnogo regulatorjev – evropska slika

Tu je evropski okvir pomemben in tu se zlahka zmotite, če berete nasvete, osredotočene na Združeno kraljestvo. GDPR je uredba, ne direktiva: Uredba (EU) 2016/679 se neposredno uporablja v vsaki državi članici EU in širšem Evropskem gospodarskem prostoru, ki vključuje Norveško, Islandijo in Lihtenštajn [1][2]. Nosilni členi – odgovornost, pravna podlaga, evidenca obdelave, ocena učinka, pravice posameznikov – so besedilno enaki v Nemčiji, Franciji, Italiji, Španiji, na Poljskem, Slovaškem in povsod drugod. Podjetje, ki posluje po vsej Evropi, jedro EU zgradi enkrat.

Spreminja se nacionalna plast, položena na to jedro. Vsaka država ima svoj nadzorni organ – CNIL v Franciji, Garante v Italiji, AEPD v Španiji, BfDI in deželne organe v Nemčiji in tako naprej – in vsak lahko izda nacionalne posebnosti: starost, pri kateri otrok lahko privoli v spletne storitve (določena kjer koli med 13 in 16 leti po vsej skupnosti), pravila o podatkih zaposlenih in lasten seznam organa za dejanja obdelave, ki vedno zahtevajo oceno učinka. Doslednost med temi regulatorji drži skupaj Evropski odbor za varstvo podatkov in mehanizem »vse na enem mestu«, tako da jedro ne razpade [8]. Za zbirko o odgovornosti to pomeni, da je struktura enotna, razlikovanje pa omejeno: prikažite jedro EU, nato za vsako državo, v kateri poslujete, dodajte peščico nacionalnih posebnosti.

In prav zato evropsko ni isto kot britansko. Od brexita je Združeno kraljestvo zunaj GDPR EU. Uporablja svoj UK GDPR ob Zakonu o varstvu podatkov 2018 pod nadzorom urada ICO in se je z domačo reformo začelo oddaljevati od besedila EU. Švica, ki ni bila nikoli v EU, ima svoj prenovljeni zvezni zakon o varstvu podatkov. Podjetje s težiščem v EU mora torej Združeno kraljestvo in Švico obravnavati kot ločena, vzporedna režima – kot ločeni jurisdikciji, ki ju je treba dokumentirati vsako zase –, ne kot lokalni različici uredbe EU [2]. Mnogo široko deljenih nasvetov o »GDPR« je v resnici britanskih; za obdelavo s težiščem v EU in EGP so uredba, regulatorji in referenčna besedila, ki jih navajate, evropski.

Kjer odgovornost postane težja: UI in avtomatizirane odločitve

Sprejem UI ne ustvari ločenega sveta skladnosti, doda pa težo zbirki o odgovornosti. Pomembne so tri točke. Prvič, avtomatizirano sprejemanje odločitev in profiliranje, ki ima pravne ali podobno znatne učinke na ljudi, ima posebne zaščitne ukrepe po členu 22 – v mnogih primerih tudi pravico do človeškega posredovanja [1]. Drugič, UI, ki obsežno obdeluje osebne podatke ali profilira posameznike, pogosto izpolni merila člena 35 in tako sproži oceno učinka [1][3]. Tretjič, za vsako učenje ali sklepanje na osebnih podatkih še vedno potrebujete jasno, dokumentirano pravno podlago.

Poleg GDPR Akt EU o umetni inteligenci (Uredba (EU) 2024/1689) uvaja ločeno, na tveganju temelječo plast obveznosti za same sisteme UI [7]. Režima tečeta vzporedno: Akt o UI ureja sistem, GDPR ureja osebne podatke, ki se jih dotakne – odgovornost po GDPR pa velja že v trenutku, ko sistem UI obdeluje osebne podatke, ne glede na to, kako ga razvrsti Akt o UI. Praktična posledica je, da organizacija, ki delo seli v UI, podeduje več za dokumentirati, ne manj. Širšo regulativno konvergenco obravnavamo v našem vodniku o upravljanju UI in pravilih, ki veljajo, operativni model, ki te dokaze ustvarja kot stranski produkt običajnega dela, pa v podjetju, zgrajenem na UIEN.

Iskren pridržek: dokumentacija je nujna, ne pa zadostna

Priročno bi bilo reči, da ste, ko zbirka obstaja, skladni. Niste – in pretvarjanje, da je drugače, je klasičen način, kako odgovornost odpove. Tri iskrene omejitve.

Prvič, dokumenti se morajo ujemati z resničnostjo in po njih morate ravnati. Politika, ki opisuje nadzore dostopa, ki jih vaši sistemi ne uveljavljajo, ali evidenca, ki izpusti videonadzor na recepciji, ni nevtralna – je dokaz neskladnosti. Zbirka izkazuje odgovornost le, če je specifična, notranje skladna in dejansko živeta. Drugič, zbirka dokumentacije ni pravni nasvet in ni certifikacija. Izdelava evidenc, ki jih zahteva zakon, je strukturirano sestavljanje besedil, ne pravno mnenje o vašem konkretnem položaju; statusa »certificirano za GDPR« dobra papirologija ne podeli – uradna pot certificiranja po členu 42 je ločen, akreditiran mehanizem. Tretjič, nekateri primeri potrebujejo strokovnjaka. Resnično zapletena ocena učinka, sporna čezmejna struktura ali tekoča regulativna preiskava niso področje predlog; pravi korak je takrat napotitev na usposobljenega svetovalca, dober postopek odgovornosti pa vam pove kdaj.

Poimenovanje teh omejitev ni izgovor. Je razlika med zbirko, ki preživi pregled, in mapo, ki se sesuje, ko jo nekdo prvič natančno prebere.

Kako zgraditi svojo zbirko o odgovornosti

Zbirko je realno mogoče izdelati na tri načine. Odvetniška pisarna ali svetovalec za varstvo podatkov vam dasta natančnost in presojo, a počasi in po ceni, ki manjše podjetje obremeni. Splošne predloge so hitre in poceni, a ne prestanejo preizkusa specifičnosti in skladnosti, ki ga organi dejansko uporabljajo – protislovna ali votla zbirka pa je slabša od iskrene vrzeli. Tretja pot je produktizirana, generirana zbirka: odgovorite na strukturirana vprašanja o svojem podjetju in dejavnostih obdelave, prilagojena, notranje skladna zbirka pa se sestavi iz knjižnice določil, zgrajene na uredbi in uradnih smernicah – hitro kot predloge, a specifično za vas kot pri odvetniku.

Zgradite zbirko brez časovnice odvetniške pisarne. Produkt GDPR Accountability Documentation podjetja easyAI kratek voden vprašalnik o vašem podjetju in ravnanju z osebnimi podatki spremeni v prilagojeno, notranje skladno zbirko o odgovornosti – evidenca dejavnosti obdelave, notranja politika, obvestila o zasebnosti, pogodbe z obdelovalci, ocena zakonitega interesa, kjer jo potrebujete, in presejanje za oceno učinka – izdelano v nekaj dneh, v angleščini in vašem nacionalnem jeziku, za delček cene posebej naročenega projekta. Gre za podporo pri dokumentaciji, ne za pravni nasvet ali certifikacijo, in predpostavlja, da to, kar opisuje, tudi izvajate. Če je vaš naslednji korak UI in ne papirologija, AI Foundation AuditEN razvrsti, kje se avtomatizacija najbolj povrne; začnite z vzorčnim poročilomEN. Oba produkta sta na platformi easyAI na naslovu aiprioritymap.com.

Zaporedje na vaši strani je preprosto: popišite vsako dejavnost, ki se dotakne osebnih podatkov, za vsako določite pravno podlago, napišite evidence in obvestila, ki jih opisujejo, sklenite pogodbe z izvajalci, ocenite primere z velikim tveganjem in vzpostavite postopke za pravice in kršitve – nato pa vse skupaj ohranjajte ažurno, kakor se vaša obdelava spreminja. Odgovornost ni projekt, ki ga končate; je stanje, ki ga vzdržujete. A prvih, najtežjih 80 % – celovita, dosledna, podjetju prilagojena zbirka, ki jo lahko postavite pred vsakogar, ki povpraša – je prav tisti del, ki ga je zdaj mogoče generirati, namesto sestavljati ročno.

Pogosta vprašanja

Povzetek

GDPR in načelo odgovornosti — dokažite ga, ne le zatrjujte
│
├─ Načelo (člen 5(2), 24)
│   ├─ Skladnost mora biti dokazljiva, ne zatrjevana
│   ├─ Dokazno breme je na vas, upravljavcu
│   └─ Organi preverjajo specifičnost in doslednost, ne obsega
│
├─ Kaj morate biti zmožni pokazati
│   ├─ Evidenca dejavnosti obdelave — vsaka dejavnost (člen 30)
│   ├─ Pravna podlaga + ocena za zakoniti interes (člen 6)
│   ├─ Obvestila · pogodbe z obdelovalci · prenosi (člen 13/14, 28, pogl. V)
│   └─ Ocena učinka, kjer je tveganje veliko · postopki za pravice in kršitve
│
└─ Ena uredba, mnogo regulatorjev
    ├─ EU in EGP imata skupno jedro — prikažite ga enkrat
    ├─ Nacionalni organi dodajo posebnosti — CNIL, Garante, AEPD…
    └─ Ne Združeno kraljestvo — UK GDPR in švicarski FADP sta ločena

Sorodni vsebinski poudarki

Prihajajoči vsebinski poudarki v tej skupini: kako zgraditi evidenco dejavnosti obdelave, kdaj in kako opraviti oceno učinka, izbira pravne podlage, postopki za pravice posameznikov, pogodba o obdelavi podatkov po členu 28 in GDPR za UI in avtomatizirane odločitve.


Zadnja posodobitev: junij 2026. Različica 1.0.

Frequently Asked Questions

Kaj je načelo odgovornosti po GDPR?
Odgovornost je opredeljena v členu 5(2) GDPR: upravljavec je odgovoren za skladnost z načeli varstva podatkov in mora biti to skladnost zmožen tudi dokazati. Dokazno breme s tem prehaja na podjetje. Osebnih podatkov ni dovolj le obdelovati zakonito – z dokumentacijo morate znati pokazati, kako in zakaj to počnete. Prav te dokaze želi videti nadzorni organ, stranka ali poslovni partner.
Katere dokumente GDPR dejansko zahteva?
Jedro zbirke o odgovornosti so: evidenca dejavnosti obdelave (člen 30), pravna podlaga za vsako dejavnost z oceno zakonitega interesa tam, kjer se ta podlaga uporablja (člen 6), obvestila o zasebnosti za osebe, katerih podatke hranite (člena 13–14), pogodbe o obdelavi podatkov z vašimi izvajalci (člen 28) ter ocena učinka v zvezi z varstvom podatkov, kadar obdelava lahko povzroči veliko tveganje (člen 35). Okoli tega so še postopki za pravice posameznikov in obravnavo kršitev ter notranja politika tehničnih in organizacijskih ukrepov.
Ali GDPR po vsej Evropi velja enako?
Jedro velja enako. Uredba (EU) 2016/679 se neposredno uporablja v celotni EU in širšem Evropskem gospodarskem prostoru – isti členi veljajo v Nemčiji, Franciji, Italiji, na Slovaškem in v vseh drugih državah članicah, pa tudi na Norveškem, Islandiji in v Lihtenštajnu. Razlikuje se nacionalna raven: vsaka država ima svoj nadzorni organ in nekaj nacionalnih posebnosti, kot so starost, pri kateri otrok lahko privoli v spletne storitve, pravila o podatkih zaposlenih in seznam dejanj obdelave, ki vedno zahtevajo oceno učinka.
Ali Združeno kraljestvo pokriva GDPR EU?
Ne več. Po brexitu Združeno kraljestvo uporablja svoj UK GDPR ob Zakonu o varstvu podatkov 2018 pod nadzorom urada ICO in se je z domačo reformo začelo oddaljevati od besedila EU. Tudi Švica ima svoj prenovljeni zvezni zakon o varstvu podatkov. »Evropsko« varstvo podatkov torej ni en sam režim: EU in EGP imata skupno jedro, Združeno kraljestvo in Švica pa sta ločena, vzporedna sistema, ki ju podjetje s težiščem v EU obravnava kot ločeni jurisdikciji, ne kot lokalni različici.
Ali morajo majhna podjetja in MSP voditi evidenco dejavnosti obdelave?
Običajno da. Člen 30(5) na videz izvzema organizacije z manj kot 250 zaposlenimi, a izjema odpade, če vaša obdelava ni le občasna, če lahko pomeni tveganje za posameznike ali če zajema posebne vrste osebnih podatkov – kar opiše tako rekoč vsako podjetje, ki obračunava plače, hrani evidence strank ali uporablja videonadzor. V praksi večina MSP ni izvzeta, evropski regulatorji pa vodenje evidence vseeno odločno priporočajo, saj je to najkoristnejši instrument za dokazovanje odgovornosti.
Kdaj podjetje potrebuje oceno učinka v zvezi z varstvom podatkov (DPIA)?
Ocena učinka je po členu 35 obvezna, kadar vrsta obdelave lahko povzroči veliko tveganje za pravice in svoboščine posameznikov – zlasti obsežna obdelava posebnih vrst podatkov, sistematično spremljanje javnih površin ali sistematično in obsežno profiliranje s pravnimi ali podobno znatnimi učinki. Evropske smernice določajo devet meril tveganja in izpolnitev dveh ali več obravnavajo kot močan znak, da je ocena potrebna. Vsak nacionalni organ objavi tudi svoj seznam dejanj, ki jo vedno zahtevajo.
Ali lahko preprosto uporabimo splošne predloge dokumentov za GDPR?
Predloge so lahko izhodišče, a ne prestanejo preizkusa, ki ga organi dejansko uporabljajo: specifičnosti in notranje skladnosti. Politika, ki opisuje varnostne ukrepe, ki jih vaši sistemi nimajo, ali evidenca, ki izpusti videonadzor na recepciji, sta dokaz neskladnosti, ne dokaz skladnosti. Dokumenti morajo opisovati resnično obdelavo v vaši organizaciji, poimensko navesti vaše dejanske sisteme in izvajalce ter si ne smejo nasprotovati – nato pa morate to, kar opisujejo, tudi izvajati.
Ali uporaba UI spremeni naše obveznosti po GDPR?
Dvigne vložek, pravil pa ne nadomesti. Avtomatizirano sprejemanje odločitev in profiliranje imata posebne zaščitne ukrepe po členu 22, UI, ki obsežno obdeluje osebne podatke, pogosto sproži oceno učinka, za vsako učenje ali sklepanje na osebnih podatkih pa še vedno potrebujete jasno pravno podlago. Akt EU o umetni inteligenci dodaja ločeno, na tveganju temelječo plast obveznosti za sisteme UI, a odgovornost po GDPR velja že v trenutku, ko se sistem UI dotakne osebnih podatkov – zajeti je treba le še več.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.