Blog

Kontrola dostępu w biurowcu, karty, RCP i RODO w praktyce

Kontrola dostępu w biurze to dziś nie luksus, tylko standard, który rozwiązuje kilka problemów naraz: kto wchodzi do których pomieszczeń, jak liczyć czas pracy bez ręcznych list i jak zabezpieczyć strefy wrażliwe bez ciągłego dorabiania kluczy. Problem w tym, że łatwo wdrożyć ją źle, na przestarzałych kartach, które da się skopiować telefonem, bez zgodności z RODO albo z pominięciem przepisów przeciwpożarowych. W tym artykule tłumaczymy, jak dobrać technologię, czym różni się kontrola dostępu od rejestracji czasu pracy, co mówi RODO o danych z wejść i biometrii oraz ile to realnie kosztuje. Wszystko w oparciu o polskie realia i przepisy obowiązujące w 2026 roku.

Kontrola dostępu w biurze - karta zbliżeniowa przy czytniku

Po co firmie kontrola dostępu?

Najprościej: kontrola dostępu decyduje o tym, kto i kiedy wejdzie do danej strefy. Zamiast pęku kluczy i zamków, które trzeba wymieniać po każdej zgubie, masz karty lub aplikacje w telefonie, a utracony nośnik blokujesz jednym kliknięciem. Do tego dochodzi ewidencja: system zapisuje każde wejście i wyjście, więc wiesz, kto był w biurze, i masz gotową listę obecności na wypadek ewakuacji.

Dla firmy oznacza to realne korzyści: ograniczenie dostępu do serwerowni czy magazynu tylko do uprawnionych osób, automatyczne rozliczanie czasu pracy zamiast papierowych list oraz koniec z kosztownym dorabianiem kluczy i wymianą zamków.

Jak wybrać technologię: karty, PIN, biometria, telefon

Wybór technologii to kompromis między wygodą, bezpieczeństwem a kosztem. Poniższe zestawienie pokazuje, co się do czego nadaje.

TechnologiaPlusyMinusyDo czego
Karta EM 125 kHznajtańsza, od rękitylko stały numer, bardzo łatwa do skopiowaniadomofony, niski poziom bezpieczeństwa
Mifare Classictania, popularnaszyfr złamany w 2008 r., karty klonowalneśredni poziom, nie do stref krytycznych
Mifare DESFire (EV1/EV2/EV3)szyfrowanie AES, certyfikaty bezpieczeństwadroższa, wymaga kodowaniabiura, strefy wrażliwe, RCP
Kod PINbrak nośnika, tanikod można podejrzeć lub przekazaćpomieszczenia techniczne, jako drugi składnik
Biometria (odcisk, twarz)trudna do podrobieniadane szczególnej kategorii, silne ograniczenia prawnetylko strefy szczególnie chronione
Dostęp mobilny (telefon)wygoda, zdalne nadawanie uprawnień, brak kartzależny od telefonu i baterii, wyższy startnowoczesne biura, coworking

Do typowego biura najlepszym wyborem są dziś karty Mifare DESFire albo dostęp mobilny, a strefy krytyczne (serwerownia, pomieszczenia z danymi) warto zabezpieczyć dwuskładnikowo, na przykład kartą i kodem PIN.

Uwaga na standard karty, nie każda jest bezpieczna

To najczęściej pomijany szczegół, który potrafi wywrócić cały system. Najtańsze i wciąż popularne karty EM 125 kHz oraz Mifare Classic są łatwe do sklonowania, w przypadku Mifare Classic szyfr zabezpieczający złamano już w 2008 roku i dziś kartę potrafi skopiować zwykła aplikacja na telefonie. Jeśli takie karty pilnują serwerowni, bezpieczeństwo jest pozorne.

Rozwiązaniem są karty Mifare DESFire, które stosują szyfrowanie AES i mają certyfikaty bezpieczeństwa. Kosztują kilka złotych więcej za sztukę, ale to jedyny sensowny wybór do stref, na których naprawdę zależy. Zasada jest prosta: im ważniejsza strefa, tym mocniejszy standard karty.

Kontrola dostępu a RCP: jeden system, dwa cele

Kontrola dostępu i rejestracja czasu pracy (RCP) to dwie różne rzeczy, które ten sam system realizuje jednocześnie. Kontrola dostępu odpowiada za bezpieczeństwo, decyduje, kto wejdzie do strefy. RCP służy celom kadrowo-płacowym, rejestruje wejścia i wyjścia, żeby prawidłowo rozliczyć czas pracy i wynagrodzenia. Ta sama karta otwiera drzwi i zapisuje zdarzenie, a dane trafiają do systemu kadrowo-płacowego bez ręcznego przepisywania.

Warto pamiętać, że prowadzenie ewidencji czasu pracy to ustawowy obowiązek pracodawcy (art. 149 Kodeksu pracy), a dokumentację przechowuje się przez okres zatrudnienia i 10 lat po jego zakończeniu. System RCP po prostu automatyzuje ten obowiązek i ogranicza ryzyko błędów.

Kontrola dostępu a RODO

Informacja o tym, kto i kiedy wszedł do biura, to dane osobowe, więc system podlega RODO. Trzeba tu rozróżnić dwa cele, bo mają różne podstawy prawne. Kontrola dostępu opiera się na prawnie uzasadnionym interesie pracodawcy (art. 6 ust. 1 lit. f RODO), co wymaga wcześniejszego udokumentowania, że monitoring wejść jest rzeczywiście potrzebny. Rejestracja czasu pracy działa natomiast na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c RODO w związku z art. 149 Kodeksu pracy). W dokumentacji ochrony danych oba procesy trzeba opisać osobno.

Do tego dochodzą standardowe obowiązki: poinformowanie pracowników (art. 13 RODO), wpisanie systemu do rejestru czynności przetwarzania (art. 30 RODO), odpowiednie zabezpieczenia techniczne (art. 32 RODO) oraz ograniczenie czasu przechowywania logów wejść do niezbędnego minimum. Nagrania i logi nie mogą być trzymane bezterminowo.

Biometria w pracy, kiedy naprawdę wolno

Tu ostrożność jest kluczowa, bo biometria to dane szczególnej kategorii (art. 9 RODO). Kodeks pracy dopuszcza dane biometryczne pracownika tylko wyjątkowo, gdy są niezbędne do kontroli dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony (art. 22¹ᵇ § 2 KP). Innymi słowy: odcisk palca do serwerowni może być uzasadniony, ale do codziennego otwierania drzwi biura już nie.

Bardzo ważne: biometrii nie wolno używać do rejestracji czasu pracy. Naczelny Sąd Administracyjny uznał, że to rozwiązanie nieproporcjonalne do celu, a sama zgoda pracownika nie wystarcza jako podstawa, bo w relacji z pracodawcą nie jest w pełni dobrowolna. Głośna sprawa gdańskiej szkoły, która pobierała odciski palców uczniów w stołówce, pokazuje niuans: początkowa kara UODO (20 000 zł) została uchylona, a NSA w 2024 roku uznał, że w tym konkretnym przypadku nie doszło do naruszenia, ponieważ szkoła oferowała alternatywną metodę identyfikacji dla osób, które nie chciały biometrii. Wniosek dla firm jest jasny: biometria bywa dopuszczalna, ale tylko gdy jest naprawdę niezbędna i gdy istnieje równoważna alternatywa dla tych, którzy jej odmówią. Sama wygoda czy usprawnienie to za mało.

Bezpieczeństwo, PPOŻ i zasilanie awaryjne

Kontrola dostępu to system bezpieczeństwa, więc sama musi być bezpieczna. Trzy rzeczy decydują tu najczęściej o tym, czy wdrożenie jest solidne.

Po pierwsze, przepisy przeciwpożarowe. Drzwi na drogach ewakuacyjnych muszą w razie pożaru otwierać się bez klucza w kierunku wyjścia, wymaga tego rozporządzenie o ochronie przeciwpożarowej budynków. System kontroli dostępu na takich drzwiach musi więc współpracować z sygnalizacją pożarową i automatycznie je odblokowywać. Po drugie, zasilanie awaryjne: bez akumulatora system pada przy pierwszym zaniku prądu, a drzwi zostają albo otwarte, albo zablokowane.

Po trzecie, i tu wracamy do naszej specjalności, bezpieczeństwo informatyczne samego systemu. Kontroler to w praktyce komputer w sieci, a RODO (art. 32) wymaga jego odpowiedniego zabezpieczenia. W praktyce oznacza to stosowanie szyfrowanej komunikacji między czytnikiem a kontrolerem (standard OSDP zamiast starego, nieszyfrowanego Wiegand), kart DESFire zamiast łatwych do sklonowania, zmianę domyślnych haseł kontrolera i odseparowanie go w sieci firmowej. To już nie jest robota dla samego instalatora, tylko dla informatyka.

Ile kosztuje kontrola dostępu

Koszt zależy przede wszystkim od liczby przejść, technologii i zakresu integracji, dlatego każda wycena powstaje po obejrzeniu obiektu. Dla orientacji: kompletny zestaw sieciowy na jedno przejście to wydatek rzędu 1 500 zł netto za sam sprzęt, a robocizna to szacunkowo kolejne 1 500–2 000 zł za przejście (więcej, gdy trzeba doprowadzić okablowanie). Karty kosztują od około 1,5 zł za sztukę (proste EM) do kilkunastu złotych za bezpieczne DESFire, a terminal biometryczny to wydatek rzędu 2 000 zł.

W IQ-Networks montaż systemów kontroli dostępu i estracja czasu pracy zaczyna się od 1 500 zł. Pełne widełki znajdziesz na stronie cennika.

Jak wdrażamy kontrolę dostępu w IQ-Networks

To, co odróżnia nas od typowej firmy instalacyjnej, to połączenie dwóch kompetencji. Jako doświadczony instalator montujemy systemy kontroli dostępu i RCP, a jako firma IT zabezpieczamy je od strony informatycznej, dokładnie tak, jak wymaga art. 32 RODO. Dobieramy bezpieczny standard kart, stosujemy szyfrowaną komunikację, izolujemy kontroler w sieci i pilnujemy zgodności z przepisami, również tymi o rejestracji czasu pracy i ochronie przeciwpożarowej. Zwykła firma od instalacji kończy pracę na powieszeniu czytnika, my dbamy o to, żeby system był bezpieczny także cyfrowo.

Jak to wygląda w praktyce, pokazuje nasza realizacja kontroli dostępu w biurowcu w Poznaniu. Chętnie łączymy kontrolę dostępu z rejestracją czasu pracy i obsługą IT oraz cyberbezpieczeństwem, żeby całość działała jak jeden spójny system.

Planujesz kontrolę dostępu w biurze lub biurowcu? Napisz do nas, dobierzemy technologię, policzymy koszt i wdrożymy całość zgodnie z prawem. Więcej o obowiązkach wobec danych pracowników znajdziesz też na stronie Urzędu Ochrony Danych Osobowych.

Najczęstsze pytania

Ile kosztuje montaż kontroli dostępu na jedne drzwi?

Sam zestaw sieciowy na jedno przejście to około 1 500 zł netto za sprzęt, plus szacunkowo 1 500–2 000 zł robocizny, więcej, gdy trzeba doprowadzić okablowanie. Ostateczna cena zależy od technologii, liczby przejść i integracji, dlatego liczymy ją po obejrzeniu obiektu. W IQ-Networks kontrola dostępu zaczyna się od 1 500 zł.

Czy kartę zbliżeniową da się skopiować?

Tanie karty EM 125 kHz i Mifare Classic tak, te drugie da się sklonować nawet aplikacją na telefonie. Karty Mifare DESFire z szyfrowaniem AES są znacznie bezpieczniejsze i to je rekomendujemy do biur i stref wrażliwych.

Czy mogę używać odcisku palca do rejestracji czasu pracy pracowników?

Nie. Naczelny Sąd Administracyjny uznał biometrię do ewidencji czasu pracy za rozwiązanie nieproporcjonalne, a zgoda pracownika nie jest tu wystarczającą podstawą. Do RCP używa się kart lub kodów, biometrię rezerwuje się dla stref szczególnie chronionych.

Czy muszę mieć zgodę pracownika na kontrolę dostępu w biurze?

Nie zgodę, lecz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) po udokumentowaniu potrzeby. Trzeba za to poinformować pracowników, wpisać system do rejestru czynności przetwarzania i ograniczyć czas przechowywania danych o wejściach.

Co dzieje się z drzwiami podczas pożaru albo zaniku prądu?

Drzwi na drogach ewakuacyjnych muszą w razie pożaru otwierać się bez klucza w kierunku wyjścia, dlatego system łączy się z sygnalizacją pożarową i je odblokowuje. Na wypadek zaniku prądu stosuje się zasilanie awaryjne, żeby system nie przestał działać.

Czym różni się karta Mifare od EM 125 kHz i którą wybrać do biura?

EM 125 kHz to prosty, łatwy do skopiowania nośnik z samym numerem. Mifare, zwłaszcza DESFire, oferuje szyfrowanie i większe bezpieczeństwo. Do biura wybieraj Mifare DESFire, a EM zostaw dla zastosowań o niskim znaczeniu.

Potrzebujesz wsparcia przy wdrożeniu kontroli dostępu w firmie?

Powiedz nam, czego potrzebujesz, a doradzimy i wdrożymy całość. Pierwsza konsultacja jest bezpłatna, bez zobowiązań.

Zadzwoń Bezpłatny audyt