Ända sedan lagen kom har den debatterats, bland annat väcker personuppgifter på Internet frågor. Problemet Här ligger i att personuppgifter inte får föras över till tredje land, det vill säga länder utanför EU och EES-samarbetet.
   En förutsättning för att lägga ut uppgifter är att det är tillåtet enligt puls regler att bearbeta uppgifterna över huvud taget. Harmlös information får publiceras på Internet, vad som är harmlöst får avgöras från fall till fall, men utgångspunkten bör enligt Datainspektionen vara att publiceringen inte upplevs som kränkande.
   En arbetsgivare kan till exempel normalt publicera namn, befattning, e-postadress och liknande uppgifter som kan relateras till arbetet. Men vill man lägga ut foton eller hemadress är man ute på sank mark om inte personen tillfrågas först.

Mer omfattande än datalagen
Uppgifter publicerade på Internet är dock inte det enda som pul reglerar.
   Enligt lagen är all behandling av personuppgifter förbjuden om de registrerade personerna inte har gett sitt samtycke eller registreringen omfattas av något undantag som finns i lagen.
   Pul reglerar mer än datalagen gjorde. Datalagen gällde för personregister medan pul omfattar all information om människor oavsett i vilken form den finns, i löpande text, på ljudupptagningar, i register, på fotografier. Också elektroniska identiteter kan regleras av pul.
   Det räcker att ett namn står i en wordfil på datorn för att det ska räknas som bearbetning. Till och med personuppgifter som finns i e-post omfattas av reglerna.

Gäller ej privat bruk
Lagen reglerar också manuell bearbetning av personuppgifter, om de är sorterade så att det är möjligt att söka bland dem.
   Privatpersoner med adresslistor och anteckningar om bekantskapskretsen behöver dock inte vara rädda för åtal enligt pul, hur graverande uppgifterna än är, eftersom lagen undantar behandlingar som sker uteslutande för privat bruk. Detsamma gäller om syftet är journalistiskt, litterärt eller konstnärligt.
   Straffet för att bryta mot bestämmelserna i pul är böter eller fängelse i upp till 6 månader, eller upp till 2 år for särskilt grova brott.
   Var gränserna går är osäkert och det kommer förmodligen att visas i en lång rad rättegångar vad man får och inte far registrera och publicera.

Så fungerar pul i praktiken

Måste anmäla användning
   Lagen, till exempel att uppgifterna behandlas efter samtycke från den registrerade eller om ett personuppgiftsombud har utsett - ett per­sonuppgiftsombud är ett slags ordningsman som ser till att puls krav uppfylls. När personombudet utsetts ska dock detta anmälas till Datainspektionen.
   För den som ska upprätta ett register har Datainspektionen följande checklista att tänka på:

Känsliga uppgifter
I lagen finns också en regel som tillåter behandling om intresset av det är starkare än integritetsskyddet för den som registreras. Särskilt känsliga uppgifter regleras med särskilda bestämmelser i lagen. Också för registrering av personnummer finns särskilda bestämmelser.
   I vissa fall måste de som finns i ett register informeras, till exempel de som läggs in i ett medlemsregister. När ett register ska användas för ett nytt syfte måste den som har ansvaret inhämta samtycke från den som registreras.