Kapitel VII Data Act befasst sich mit dem unrechtmäßigen staatlichen Zugang zu und der unrechtmäßigen Übermittlung von nicht-personenbezogenen Daten, die von Anbietern von Datenverarbeitungsdiensten in der Europäischen Union (EU) gespeichert werden. Das Ziel dieses Kapitels ist es, diese Daten vor Zugriffsanfragen von Regierungen oder Behörden aus Drittländern zu schützen, insbesondere wenn die Gewährung des Zugangs oder der Übermittlung gegen geltendes EU-Recht oder nationales Recht verstoßen würde. Solche Verstöße können den Schutz der Grundrechte, der nationalen Sicherheitsinteressen oder den Schutz wirtschaftlich sensibler Daten, einschließlich Geschäftsgeheimnissen und Rechten des geistigen Eigentums, betreffen.
Entscheidungen oder Urteile von Gerichten oder Verwaltungsbehörden eines Drittlandes, die die Herausgabe solcher Daten in der EU fordern, sind nur dann in der EU anerkannt und vollstreckbar, wenn sie auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen zwischen dem Drittland und der Union oder einem Mitgliedstaat, beruhen. Fehlt eine solche internationale Übereinkunft, darf der Zugang oder die Übermittlung nur erfolgen, wenn das Rechtssystem des Drittlandes strikte Garantien vorsieht. Dazu gehört die Forderung, dass die Entscheidung begründet, verhältnismäßig und hinreichend bestimmt sein muss, und dass der Adressat (Anbieter von Datenverarbeitungsdiensten) die Möglichkeit hat, begründeten Einspruch zur gerichtlichen Überprüfung vorzubringen.
Anbieter von Datenverarbeitungsdiensten müssen alle angemessenen technischen, organisatorischen und rechtlichen Maßnahmen ergreifen, um unrechtmäßigen staatlichen Zugang zu verhindern, beispielsweise durch Verschlüsselung der Daten. Sie müssen ihre Kunden, deren Daten verlangt werden, informieren, bevor sie dem Verlangen einer Behörde eines Drittlands nachkommen, es sei denn, die Benachrichtigung würde Strafverfolgungszwecken zuwiderlaufen. Die Regelungen dieses Kapitels haben keine Auswirkungen auf den regulären grenzüberschreitenden Datenverkehr zwischen Unternehmen.