QR kod teknolojisi, günümüzde dijital ekonominin temel araçlarından biri hâline gelmiştir. Restoran menülerinden kamu hizmetlerine, e-ticaretten finansal işlemlere kadar geniş bir kullanım alanına sahip olan QR kodlar, sağladıkları hız ve pratiklik nedeniyle kullanıcı davranışının doğal bir parçası olmuştur. Ancak bu yaygınlık, dijital saldırganlar açısından da düşük şüphe düzeyine sahip bir istismar zemini yaratmaktadır.

Kişisel Verileri Koruma Kurumu (“KVKK”), 26 Şubat 2026 tarihli “QR Kodlarla Gelen Risk: Quishing” başlıklı bilgilendirme yazısında, QR kodlar aracılığıyla gerçekleştirilen oltalama saldırılarını ayrıntılı biçimde ele almış ve bu tehdidi kişisel veri güvenliği perspektifinden değerlendirmiştir. Bilgilendirme yazısı, konunun yalnızca teknik bir siber güvenlik riski değil, doğrudan veri koruma hukuku kapsamında ele alınması gereken bir alan olduğunu açıkça ortaya koymaktadır.

01.10.2025 tarihli ve 33034 sayılı Resmî Gazete'de yayımlanan Kişisel Verileri Koruma Kurulu Kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 16. maddesi uyarınca yürütülen VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yükümlülüğüne ilişkin istisna kriterlerinde değişiklik yapılmıştır.

1. Giriş

Kişisel verilerin korunması hukukunun birçok hukuk dalının kesişim noktası olduğu aşikârdır. Kişisel verilere yönelik her türlü müdahale, kural olarak hukuka aykırılık teşkil eder. Anayasamız gereğince kişisel verilerin işlenebilmesindeki istisnaların başında kişinin açık rızası gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda, ilgili kişinin şahsi özellikleri dikkate alınmaksızın, açık rızaya ilişkin olarak çerçeve hüküm getirilmiştir. İlgili kişinin tüketici olması durumunda, tüketici hukukuna ilişkin genel prensipler ve yasalarla getirilen koruyucu hükümler doğrudan uygulanacaktır. Tüketicinin kişisel verisinin işlendiği durumlarda, veri sorumlusu ile tüketici arasındaki "güç dengesizliği" dikkate alınmalı ve buna göre bir yaklaşım benimsenmelidir. Bu makalemizde veri sorumlularınca tüketicilerden alınan açık rızalara ve açık rızanın geçerlilik şartlarına değineceğiz.