Kontrola dostępu w biurze to dziś nie luksus, tylko standard, który rozwiązuje kilka problemów naraz: kto wchodzi do których pomieszczeń, jak liczyć czas pracy bez ręcznych list i jak zabezpieczyć strefy wrażliwe bez ciągłego dorabiania kluczy. Problem w tym, że łatwo wdrożyć ją źle, na przestarzałych kartach, które da się skopiować telefonem, bez zgodności z RODO albo z pominięciem przepisów przeciwpożarowych. W tym artykule tłumaczymy, jak dobrać technologię, czym różni się kontrola dostępu od rejestracji czasu pracy, co mówi RODO o danych z wejść i biometrii oraz ile to realnie kosztuje. Wszystko w oparciu o polskie realia i przepisy obowiązujące w 2026 roku.
Najprościej: kontrola dostępu decyduje o tym, kto i kiedy wejdzie do danej strefy. Zamiast pęku kluczy i zamków, które trzeba wymieniać po każdej zgubie, masz karty lub aplikacje w telefonie, a utracony nośnik blokujesz jednym kliknięciem. Do tego dochodzi ewidencja: system zapisuje każde wejście i wyjście, więc wiesz, kto był w biurze, i masz gotową listę obecności na wypadek ewakuacji.
Dla firmy oznacza to realne korzyści: ograniczenie dostępu do serwerowni czy magazynu tylko do uprawnionych osób, automatyczne rozliczanie czasu pracy zamiast papierowych list oraz koniec z kosztownym dorabianiem kluczy i wymianą zamków.
Wybór technologii to kompromis między wygodą, bezpieczeństwem a kosztem. Poniższe zestawienie pokazuje, co się do czego nadaje.
| Technologia | Plusy | Minusy | Do czego |
|---|---|---|---|
| Karta EM 125 kHz | najtańsza, od ręki | tylko stały numer, bardzo łatwa do skopiowania | domofony, niski poziom bezpieczeństwa |
| Mifare Classic | tania, popularna | szyfr złamany w 2008 r., karty klonowalne | średni poziom, nie do stref krytycznych |
| Mifare DESFire (EV1/EV2/EV3) | szyfrowanie AES, certyfikaty bezpieczeństwa | droższa, wymaga kodowania | biura, strefy wrażliwe, RCP |
| Kod PIN | brak nośnika, tani | kod można podejrzeć lub przekazać | pomieszczenia techniczne, jako drugi składnik |
| Biometria (odcisk, twarz) | trudna do podrobienia | dane szczególnej kategorii, silne ograniczenia prawne | tylko strefy szczególnie chronione |
| Dostęp mobilny (telefon) | wygoda, zdalne nadawanie uprawnień, brak kart | zależny od telefonu i baterii, wyższy start | nowoczesne biura, coworking |
Do typowego biura najlepszym wyborem są dziś karty Mifare DESFire albo dostęp mobilny, a strefy krytyczne (serwerownia, pomieszczenia z danymi) warto zabezpieczyć dwuskładnikowo, na przykład kartą i kodem PIN.
To najczęściej pomijany szczegół, który potrafi wywrócić cały system. Najtańsze i wciąż popularne karty EM 125 kHz oraz Mifare Classic są łatwe do sklonowania, w przypadku Mifare Classic szyfr zabezpieczający złamano już w 2008 roku i dziś kartę potrafi skopiować zwykła aplikacja na telefonie. Jeśli takie karty pilnują serwerowni, bezpieczeństwo jest pozorne.
Rozwiązaniem są karty Mifare DESFire, które stosują szyfrowanie AES i mają certyfikaty bezpieczeństwa. Kosztują kilka złotych więcej za sztukę, ale to jedyny sensowny wybór do stref, na których naprawdę zależy. Zasada jest prosta: im ważniejsza strefa, tym mocniejszy standard karty.
Kontrola dostępu i rejestracja czasu pracy (RCP) to dwie różne rzeczy, które ten sam system realizuje jednocześnie. Kontrola dostępu odpowiada za bezpieczeństwo, decyduje, kto wejdzie do strefy. RCP służy celom kadrowo-płacowym, rejestruje wejścia i wyjścia, żeby prawidłowo rozliczyć czas pracy i wynagrodzenia. Ta sama karta otwiera drzwi i zapisuje zdarzenie, a dane trafiają do systemu kadrowo-płacowego bez ręcznego przepisywania.
Warto pamiętać, że prowadzenie ewidencji czasu pracy to ustawowy obowiązek pracodawcy (art. 149 Kodeksu pracy), a dokumentację przechowuje się przez okres zatrudnienia i 10 lat po jego zakończeniu. System RCP po prostu automatyzuje ten obowiązek i ogranicza ryzyko błędów.
Informacja o tym, kto i kiedy wszedł do biura, to dane osobowe, więc system podlega RODO. Trzeba tu rozróżnić dwa cele, bo mają różne podstawy prawne. Kontrola dostępu opiera się na prawnie uzasadnionym interesie pracodawcy (art. 6 ust. 1 lit. f RODO), co wymaga wcześniejszego udokumentowania, że monitoring wejść jest rzeczywiście potrzebny. Rejestracja czasu pracy działa natomiast na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c RODO w związku z art. 149 Kodeksu pracy). W dokumentacji ochrony danych oba procesy trzeba opisać osobno.
Do tego dochodzą standardowe obowiązki: poinformowanie pracowników (art. 13 RODO), wpisanie systemu do rejestru czynności przetwarzania (art. 30 RODO), odpowiednie zabezpieczenia techniczne (art. 32 RODO) oraz ograniczenie czasu przechowywania logów wejść do niezbędnego minimum. Nagrania i logi nie mogą być trzymane bezterminowo.
Tu ostrożność jest kluczowa, bo biometria to dane szczególnej kategorii (art. 9 RODO). Kodeks pracy dopuszcza dane biometryczne pracownika tylko wyjątkowo, gdy są niezbędne do kontroli dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony (art. 22¹ᵇ § 2 KP). Innymi słowy: odcisk palca do serwerowni może być uzasadniony, ale do codziennego otwierania drzwi biura już nie.
Bardzo ważne: biometrii nie wolno używać do rejestracji czasu pracy. Naczelny Sąd Administracyjny uznał, że to rozwiązanie nieproporcjonalne do celu, a sama zgoda pracownika nie wystarcza jako podstawa, bo w relacji z pracodawcą nie jest w pełni dobrowolna. Głośna sprawa gdańskiej szkoły, która pobierała odciski palców uczniów w stołówce, pokazuje niuans: początkowa kara UODO (20 000 zł) została uchylona, a NSA w 2024 roku uznał, że w tym konkretnym przypadku nie doszło do naruszenia, ponieważ szkoła oferowała alternatywną metodę identyfikacji dla osób, które nie chciały biometrii. Wniosek dla firm jest jasny: biometria bywa dopuszczalna, ale tylko gdy jest naprawdę niezbędna i gdy istnieje równoważna alternatywa dla tych, którzy jej odmówią. Sama wygoda czy usprawnienie to za mało.
Kontrola dostępu to system bezpieczeństwa, więc sama musi być bezpieczna. Trzy rzeczy decydują tu najczęściej o tym, czy wdrożenie jest solidne.
Po pierwsze, przepisy przeciwpożarowe. Drzwi na drogach ewakuacyjnych muszą w razie pożaru otwierać się bez klucza w kierunku wyjścia, wymaga tego rozporządzenie o ochronie przeciwpożarowej budynków. System kontroli dostępu na takich drzwiach musi więc współpracować z sygnalizacją pożarową i automatycznie je odblokowywać. Po drugie, zasilanie awaryjne: bez akumulatora system pada przy pierwszym zaniku prądu, a drzwi zostają albo otwarte, albo zablokowane.
Po trzecie, i tu wracamy do naszej specjalności, bezpieczeństwo informatyczne samego systemu. Kontroler to w praktyce komputer w sieci, a RODO (art. 32) wymaga jego odpowiedniego zabezpieczenia. W praktyce oznacza to stosowanie szyfrowanej komunikacji między czytnikiem a kontrolerem (standard OSDP zamiast starego, nieszyfrowanego Wiegand), kart DESFire zamiast łatwych do sklonowania, zmianę domyślnych haseł kontrolera i odseparowanie go w sieci firmowej. To już nie jest robota dla samego instalatora, tylko dla informatyka.
Koszt zależy przede wszystkim od liczby przejść, technologii i zakresu integracji, dlatego każda wycena powstaje po obejrzeniu obiektu. Dla orientacji: kompletny zestaw sieciowy na jedno przejście to wydatek rzędu 1 500 zł netto za sam sprzęt, a robocizna to szacunkowo kolejne 1 500–2 000 zł za przejście (więcej, gdy trzeba doprowadzić okablowanie). Karty kosztują od około 1,5 zł za sztukę (proste EM) do kilkunastu złotych za bezpieczne DESFire, a terminal biometryczny to wydatek rzędu 2 000 zł.
W IQ-Networks montaż systemów kontroli dostępu i estracja czasu pracy zaczyna się od 1 500 zł. Pełne widełki znajdziesz na stronie cennika.
To, co odróżnia nas od typowej firmy instalacyjnej, to połączenie dwóch kompetencji. Jako doświadczony instalator montujemy systemy kontroli dostępu i RCP, a jako firma IT zabezpieczamy je od strony informatycznej, dokładnie tak, jak wymaga art. 32 RODO. Dobieramy bezpieczny standard kart, stosujemy szyfrowaną komunikację, izolujemy kontroler w sieci i pilnujemy zgodności z przepisami, również tymi o rejestracji czasu pracy i ochronie przeciwpożarowej. Zwykła firma od instalacji kończy pracę na powieszeniu czytnika, my dbamy o to, żeby system był bezpieczny także cyfrowo.
Jak to wygląda w praktyce, pokazuje nasza realizacja kontroli dostępu w biurowcu w Poznaniu. Chętnie łączymy kontrolę dostępu z rejestracją czasu pracy i obsługą IT oraz cyberbezpieczeństwem, żeby całość działała jak jeden spójny system.
Planujesz kontrolę dostępu w biurze lub biurowcu? Napisz do nas, dobierzemy technologię, policzymy koszt i wdrożymy całość zgodnie z prawem. Więcej o obowiązkach wobec danych pracowników znajdziesz też na stronie Urzędu Ochrony Danych Osobowych.
Sam zestaw sieciowy na jedno przejście to około 1 500 zł netto za sprzęt, plus szacunkowo 1 500–2 000 zł robocizny, więcej, gdy trzeba doprowadzić okablowanie. Ostateczna cena zależy od technologii, liczby przejść i integracji, dlatego liczymy ją po obejrzeniu obiektu. W IQ-Networks kontrola dostępu zaczyna się od 1 500 zł.
Tanie karty EM 125 kHz i Mifare Classic tak, te drugie da się sklonować nawet aplikacją na telefonie. Karty Mifare DESFire z szyfrowaniem AES są znacznie bezpieczniejsze i to je rekomendujemy do biur i stref wrażliwych.
Nie. Naczelny Sąd Administracyjny uznał biometrię do ewidencji czasu pracy za rozwiązanie nieproporcjonalne, a zgoda pracownika nie jest tu wystarczającą podstawą. Do RCP używa się kart lub kodów, biometrię rezerwuje się dla stref szczególnie chronionych.
Nie zgodę, lecz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) po udokumentowaniu potrzeby. Trzeba za to poinformować pracowników, wpisać system do rejestru czynności przetwarzania i ograniczyć czas przechowywania danych o wejściach.
Drzwi na drogach ewakuacyjnych muszą w razie pożaru otwierać się bez klucza w kierunku wyjścia, dlatego system łączy się z sygnalizacją pożarową i je odblokowuje. Na wypadek zaniku prądu stosuje się zasilanie awaryjne, żeby system nie przestał działać.
EM 125 kHz to prosty, łatwy do skopiowania nośnik z samym numerem. Mifare, zwłaszcza DESFire, oferuje szyfrowanie i większe bezpieczeństwo. Do biura wybieraj Mifare DESFire, a EM zostaw dla zastosowań o niskim znaczeniu.
Powiedz nam, czego potrzebujesz, a doradzimy i wdrożymy całość. Pierwsza konsultacja jest bezpłatna, bez zobowiązań.