Veri sorumlusunun meşru menfaat şartına dayanması durumunda bu şartın varlığını
tespit etmek için aşağıda sıralanan hususların değerlendirilmesi gerekir:
a. Menfaatin veri sorumlusuna ait olması: Kanunda varlığı aranması gereken meşru
menfaatin veri sorumlusuna ait olması gerektiği düzenlenmiştir. Veri sorumlusu dışında
üçüncü bir kişinin meşru menfaati bu veri işleme şartının kapsamı dışında kalmaktadır.
b. Menfaatin meşruluğu: Veri işleme şartının varlığından bahsedebilmek için veri
sorumlusunun menfaatinin mevcut olması değil, söz konusu menfaatin meşru olması
da gerekmektedir. Menfaatin ileride doğma ihtimali üzerine, ilgili kişinin kişisel verilerinin
elde edilmesi mümkün değildir. Madde kapsamında kabul edilen meşru menfaat kavramı,
hali hazırda mevcut olan bir menfaati ifade etmektedir.
c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri
arasında dengenin varlığı: Veri sorumlusunun meşru menfaatinin varlığı, ilgili kişinin
temel hak ve özgürlüklerine zarar vermemelidir. Bu durumun tespiti için iki aşamalı
bir denge testi uygulanmalıdır. Bu kapsamda yapılacak olan ilk değerlendirmede
veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli, yapılacak ikinci
değerlendirmede kişisel verisi işlenecek olan ilgili kişinin temel hak ve özgürlüklerinin
neler olduğu tespit edilmeli ve belirtilen hak ve menfaatler değerlendirilerek hangisinin
üstün geldiğine karar verilmelidir. Ancak bu değerlendirme yapılırken veri sorumlusunun
meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Bu iki terim
birbiriyle ilişkili olsa da farklı anlama gelmektedir. Kişisel verileri işleme amacı, özel olarak
verinin neden işlendiği ile alakalıdır.
Önemle belirtmek gerekir ki, veri sorumlusunun meşru menfaat şartına dayanması
durumu, maddede yer alan diğer haller uygulanamadığı takdirde başvurulacak son çare
olmadığı gibi, her şeyi kapsamına dâhil edebilecek ve tüm kişisel verilerin işlenmesi
faaliyetlerini hukuka uygun kılacak bir unsur da değildir.