AB Veri Tüzüğü (“Data Act”), kullanıcılara cihazlarının ürettiği veriler üzerinde erişim ve paylaşım hakkı tanımaktadır. Tüzüğün amacı, üreticiler ve bulut hizmet sağlayıcılarının veriler üzerinde tek taraflı kontrolünü sınırlamak, veri paylaşımını teşvik etmek ve veri işleme hizmetleri arasında geçişi kolaylaştırmaktır. Bu sayede dijital pazarda rekabet artışı ve kullanıcıların daha esnek hizmet seçeneklerine kavuşması hedeflenmiştir. Tüzük, veri paylaşımını kolaylaştırmak için teknik ve sözleşmesel düzenlemeler öngörmüş; üreticiler ile hizmet sağlayıcılarına verilerin kullanıcıya veya kullanıcının belirlediği üçüncü kişiye birlikte çalışabilir biçimde sunma yükümlülüğü getirmiştir.

Veri Tüzüğü, veri paylaşımını teşvik etmekle birlikte işletmeler için bazı uyum zorluklarını da beraberinde getirmiştir. Tüzüğün yükümlülükleri kişisel verileri de kapsayabildiği için, GDPR ile etkileşim özel bir önem taşımaktadır. Konsept olarak, Veri Tüzüğü GDPR çerçevesini tamamlayıcı niteliktedir ve kişisel veriler söz konusu olduğunda GDPR öncelikli olacaktır. Ancak uygulamada, farklı düzenleyiciler arasındaki yetki ve uygulanacak çerçeve açısından ortaya çıkabilecek çakışmaların nasıl çözüleceği henüz netleşmemiştir. Ayrıca, bir bağlı cihazın birden fazla kullanıcı tarafından kullanılması durumunda veri erişim mekanizmalarının tasarımı, veri koruma uyumluluğu göz önünde bulundurularak dikkatle yapılmalıdır.

Veri Tüzüğü kapsamında, kullanıcılar bağlı ürünler ve ilgili hizmetler tarafından üretilen verilere doğrudan veya dolaylı erişim hakkına sahip olmuştur. AB Komisyonu, üreticilerin kullanıcıya doğrudan erişim sağlamayı mı yoksa talep bazlı dolaylı erişimi mi kolaylaştıracaklarını belirleme konusunda takdir hakkı bulunduğunu açıklamıştır; bazı durumlarda dolaylı erişim daha uygun veya pratik olabilmektedir. Kullanıcılar ayrıca, cihaz veya hizmet tarafından üretilmiş ve hazır olarak bulunan verilerin üçüncü kişilerle paylaşılmasını talep edebilmektedir. Ancak bu, ürünün tasarımı gereği dışa aktarılması veya depolanması amaçlanmamış veriler için geçerli değildir (örneğin gizlilik, güvenlik veya cihaz bütünlüğü gerekçeleriyle).

Tüzük, B2B veri paylaşımında adil olmayan tek taraflı sözleşme maddelerini sınırlayan bir “adil paylaşım testi” mekanizması getirmiştir. Ayrıca, kullanıcılar bir bağlı ürün satın almadan veya ilgili hizmeti kullanmadan önce üretilen veri türü ve erişim yöntemleri hakkında bilgilendirilmelidir.

Son olarak, kamu kurumları “olağanüstü ihtiyaç” durumlarında, örneğin acil durum veya kamu yararı gerekliliklerinde, AB içindeki özel sektör verilerine erişim sağlayabilecektir.