Meşru menfaati tespit etmek için bulundurulması gerekenler şartına dayanması durumunda, bu şartın varlığını tespit etmek için aşağıda sıralanan hususlar değerlendirilmelidir:
a. Menfaatin veri sorumlusuna ait olması: Kanunda, meşru menfaatin sadece veri sorumlusuna ait olması gerektiği belirtilmiştir. Veri sorumlusu dışında üçüncü bir kişinin meşru menfaati, bu veri işleme şartının kapsamı dışında kalır.
b. Menfaatin meşruluğu: Veri işleme şartının varlığı için, veri sorumlusunun menfaatinin yalnızca mevcut olması yeterli değildir; aynı zamanda bu menfaatin meşru olması da gerekmektedir. Mevcut olmayan veya ileride doğma ihtimali olan bir menfaat, bu kapsamda kabul edilen meşru menfaat kavramına uymaz.
c. Veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında dengenin varlığı: İlgili kişinin temel hak ve özgürlüklerine zarar vermeden sağlanmalıdır. Bu nedenle, iki aşamalı bir denge testi uygulanmalıdır. İlk değerlendirmede veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli ve ikinci değerlendirmede kişisel verileri işlenecek olan ilgili kişinin temel hak ve özgürlükleri tespit edilmelidir. Bu hak ve menfaatler, değerlendirilerek hangisinin üstün geldiğine karar verilmelidir. Bununla birlikte, bu değerlendirme sürecinde veri sorumlusunun meşru menfaati ile kişisel verileri işleme amacı birbirine karıştırılmamalıdır. Her ne kadar bu iki terim birbiriyle ilişkili olsa da, farklı anlamlara gelirler. Kişisel verilerin işleme amacı, verinin özel olarak neden işlendiği ile alakalıdır.
Veri sorumlusunun meşru menfaat şartı, diğer hallerin uygulanamadığı durumlarda başvurulacak son seçenek değildir. Aynı zamanda, her şeyi kapsayan ve tüm kişisel verilerin işlenmesini otomatik olarak hukuka uygun kılan bir unsurdur. Bu nedenle, her durum ayrı ayrı değerlendirilmeli ve veri sorumlusu, meşru menfaatini kanıtlamakla yükümlüdür. Meşru menfaat şartı, belirli ve mevcut bir menfaatine yönelik olarak veri sorumlusunun veri işleme faaliyetine izin verilmesini sağlar. Ancak veri koruma ilkesine ve ilgili kişinin temel hak ve özgürlüklerine uygunluğun gözetilmesi esastır.
1. Menfaatin Veri Sorumlusuna Ait Olması
Veri koruma düzenlemelerine göre meşru menfaat sadece veri sorumlusuna ait olmalıdır. Başka bir deyişle, üçüncü bir kişinin menfaati, bu veri işleme şartlarının kapsamı dışında kalır. Bu nedenle veri sorumlusu, meşru menfaatinin kendisine ait olduğunu kanıtlamak istiyordu.
2. Menfaatin Meşruluğu
Meşru menfaat şartlarının yerine getirilebilmesi için, veri sorumlusunun menfaatinin yalnızca mevcut olması yeterli değildir; aynı zamanda bu menfaatin meşru olması da gerekmektedir. Yani mevcut olmayan veya ileride doğabilecek bir menfaat, meşru menfaat kavramına uymaz.
3. Temel Hak ve Özgürlüklerle Dengenin Varlığı
Meşru menfaat koşulları uygulanırken, ilgili kişinin temel hakları ve özgürlükleri gözetilmelidir. Bu nedenle iki birleşimler denge testi uygulanır. İlk değerlendirmede, veri sorumlusunun meşru menfaatinin olup olmadığı belirlenmeli ve ikinci değerlendirmede kişisel veriler işlenecek olan ilgili kişinin temel hak ve özgürlükleri tespit edilmelidir. Bu hak ve menfaatler, değerlendirilerek hangisinin üstün geldiğine karar verebilirsiniz.
4. Veri Sorumlusunun Meşru Menfaati ile İlgili Kişisel Verilerin Amaçları Arasındaki Ayrım
Bu değerlendirme süreci, veri sorumlusunun meşru menfaati ile kişisel verilerin işlenmesi amacıyla karıştırılmamalıdır. Her ne kadar bu iki terim mevcut olsa da, farklı anlamlara gelirler. Kişisel verilerin işlenmesi amacı, verinin özel olarak neden işlendiği ile ilgilidir ve bu amaç da meşru menfaatin ötesinde belirlenmelidir.
5. Meşru Menfaat Şartının Son Seçenek Olması
Meşru menfaat koşulları, diğer hukuki temellerin uygulanamadığı başvurulan bir seçenek olmalıdır. Diğer bir deyişle, veri işleme işlemi için daha uygun bir hukuki temele sahip olmak, meşru menfaat iddiasına başvurulmalıdır. Bu, veri sorumlusunun meşru menfaatinin kanıtlanmasının zenginliğini vurgular.