Det är flera stora skillnader:
PUL är en svensk lag från 1998. I praktiken har den inte varit så styrande.
GDPR är ett direktiv som gäller i hela EU. Dessutom finns övervakning med möjlighet till kraftig bestraffning. 

En stor skillnad med GDPR år att verksamheten inte äger kunduppgifterna (personuppgifterna) utan bara lånar dem

GDPR kräver att du kan redovisa ett syfte med att spara personuppgiften. Motivera gärna med hjälp av de stöd som finns i GDPR-förordningen.

En öppen, ärlig och bindande redovisning av hur personuppgiften kommer att användas är också ett krav

Dessa uppgifter ska finnas dokumenterade och utan dröjsmål kunna förmedlas till de som frågar efter den.

Dessutom finns möjligheten till kännbara straff för den som inte följer GDPR 

Ett personligt medgivande att spara personuppgiften måste vara separat och får inte vara tvingande.

Dessutom måste detta personliga medgivande lika enkelt och när som helst kunna återkallas