Een gegevensbeschermingsautoriteit (GBA) is het onafhankelijke publieke orgaan dat verantwoordelijk is voor het toezicht op de toepassing van de gegevensbeschermingswetgeving binnen haar rechtsgebied. In Nederland is dit de Autoriteit Persoonsgegevens (AP), terwijl andere EU-lidstaten hun eigen toezichthouders hebben, zoals de ICO in het Verenigd Koninkrijk en de CNIL in Frankrijk. GBA's hebben de bevoegdheid om klachten te onderzoeken, audits uit te voeren en administratieve boetes op te leggen bij niet-naleving.
Organisaties zijn verplicht samen te werken met hun relevante toezichthouder en moeten in veel gevallen binnen 72 uur na ontdekking van een datalek melding doen. Het kennen van de richtlijnen, handhavingsprioriteiten en meldingsprocedures van uw toezichthouder is essentieel om compliant te blijven en aanzienlijke boetes te voorkomen die onder de AVG kunnen oplopen tot 4% van de wereldwijde jaaromzet.