Sedan 2018 gäller dataskyddsförordningen (GDPR) i stället för personuppgiftslagen (PuL). För dig som arbetsgivare innebär det att personuppgifter bara får behandlas om det finns ett tydligt ändamål, en rättslig grund och ett arbetssätt som uppfyller GDPR:s grundläggande krav. Det räcker alltså inte att behandlingen är praktiskt användbar i din verksamhet eller att det “alltid har gjorts så”.