(2) Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len "bezpečnostný projekt"), ak

a) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo

b) informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu