corner of ramblings

I mitt blogginlägg Övervakad av Din Tur så nämner jag att jag ska skriva brev till dem och Datainspektionen och höra hur det egentligen står till med lagringen av resedata. I fallet Datainspektionen så tror jag inte så mycket kommer hända, och ej heller Din Tur om jag ska vara helt ärlig – aldrig tidigare fått något svar på brev jag skickat dit. Men här är de i originalutförande som de gick iväg idag till båda parter.

När/om jag får något svar så lägger jag upp det här!

Uppdatering 2009-09-18:

Fortfarande inget svar från Din Tur, tog och skickade en påminnelse idag. Om jag inte fått något svar nästa måndag så tar jag och börjar skicka runt mina funderingar till de som äger Din Tur istället.

Uppdatering 2009-09-02:

Inte fått något svar från Din Tur, till och med kollat spam-mappen. :) Även uppdaterat brevet till Din Tur då jag märkte att jag blandat ihop Västtur och Datainspektionen på hur länge resedata borde kunna sparas. Nästa vecka skickar jag en påminnelse.

Uppdatering 2009-08-27:

Svar från Datainspektionen

Din Tur

Hej! Jag har en fundering över hur länge ni egentligen sparar resedata för oss som reser med er och har ett busskort. Jag har själv inte rest med mitt busskort på snart 11 månader hos er och upptäckte sist jag skulle åka att mitt busskort var trasigt och därför gick jag in på Navet i Sundvall för att skaffa ett nytt. Väl där så hjälper en av de som jobbar mej med att få ett nytt kort, hon frågar lite kontrollfrågor för att se att det verkligen är mitt kort. Vilket bland annat innefattade att fråga när jag reste senast, vilket visade sej vara i slutet av oktober i förra året till Härnösand. Att ni nästan 11 månader efter min resa fortfarande har lagrat att jag åkte någonstans finner jag ytterst oroande och därför skulle jag verkligen vilja veta hur länge ni egentligen sparar resedata som är direkt hänförbart till mej som individ. Anonymiserad data är väl ändå en sak, men direkt kopplat till en person? Förstår ni hur pass grovt integritetskränkande det är? Jag noterar att Västtrafik tycker att 60-90 dagar ska vara en rimlig tid att spara den här typen av uppgifter. Nu finns det inte någon lagstiftning om det här, men jag hoppas verkligen att ni på Din Tur tar tillfället i akt, visar framfötterna och börjar rensa/anonymisera er resedata inom den här intervallen, eller ännu tidigare! (http://www.idg.se/2.1085/1.239844/datainspektionen-kraver-rensning-av-reseuppgifter — http://www.datainspektionen.se/press/nyheter/datainspektionen-begar-lagreglering-om-hur-lange-kollektivtrafiken-far-lagra-reseuppgifter/) Med vänliga hälsningar, Björn Andersson

Datainspektionen

Hej! Jag såg ert pressmeddelande där ni kräver lagreglering på hur länge resebolag ska få lagra resedata om sina kunder i sina databaser. Det här tycker jag personligen är en jättebra sak och tyvärr så har jag märkt av hur länge vissa bolag tyvärr lagrar uppgifter. Av en ren händelse så behövde jag prata med Din Tur i Sundsvall i början av veckan då mitt busskort hade gått sönder. Hade inte rest på det på länge då jag varit borta från Sundsvall/Västernorrland och en av de kontrollfrågorna som hon på Din Tur frågade var när jag sist rest med dem, jag hade inget minne eftersom det var så länge sedan. Gissade någon gång 2007. Men då berättade hon att det minsann va i slutet av oktober 2008 och det var till Härnösand. Så nästan 11 månader sedan så reste jag med Din Tur och de vet precis vart jag har åkt, otroligt skrämmande. Jag förstår att ni antagligen inte lägger så mycket tid på det här i nuläget i väntan på en lagändring, men jag skulle i vilket fall vilja lyfta fram att även Din Tur lagrar trafikdata som är direkt hänförbart till en person otroligt länge. Tack på förhand och ha’re gott, Björn Andersson

Svar från Datainspektionen

Hej Björn. Vi kommer f n inte att inleda någon tillsyn mot Din Tur i Sundsvall, men noterar informationen för eventuella framtida ärenden. Med vänlig hälsning Annika Palm Jurist, Datainspektionen www.datainspektionen.se

Dvs ingenting oväntat här. :)

Efter att ha bott i exil från Sundsvall i ett och ett halvt år så är jag åter tillbaka och börjar återknyta kontakten med staden och områdena där jag spenderat större delen av mitt liv. Min första bussresa tillbaka här gick sådä. Mitt busskort var trasigt men bussföraren var schysst och lät mej åka med ändå, “Men se till att gå och få ett nytt kort när du kan!”

Så nu under min semester när jag var nere på stan så tänkte jag att det var dags att ta tag i det där, så jag går in på Navet och säger att mitt busskort verkar vara trasigt. Damen i kassan ler trevligt, tar kortet och försöker läsa av det. “Hmm… Ja det är nog trasigt det här kortet ja” säger hon bakom sitt skyddande säkerhetsfönster.

Hon börjar knappa på sin dator, läser av numret på kortet och frågar vad jag heter. Ger ifrån mej namnet och hon fortsätter knappa. Efter ett tag frågar hon, “När åkte du senast?”. Jag tänker efter en stund och svarar att det var nog hösten 2007 eftersom jag flyttade till Jämtland i december det året. “Oj, det va ett tag sen” utbrister hon från andra sidan och fortsätter knappa. Sedan säger hon, “Ah, sådär. Sist du reste med oss va i slutet av oktober 2008 [~11 månader sedan] och det va till Härnösand”. “Ah, ja just det” utbrister jag igenkännande, hade ju en mindre fadäs där när jag tankade bensin i en dieselbil och fick ta bussen för att hämta upp bilen i Härnösand då.

Så jag fick ett nytt busskort registrerat och jag tänkte inte mer på det för stunden. Men på vägen hem så började det gnaga i mitt bakhuvud; “Men hon såg alltså att jag åkt till Härnösand för nästan ett år sedan!?” Varför skulle de behöva ha den informationen lagrad så länge? Det här är ju för fan befängt. Så jag tar och vandrar till Navet för att höra efter vad de har för integritetspolicy på Din Tur egentligen.

Hon bakom säkerhetsfönstret, samma som innan, ser lite smått fundersam ut och undrar vad jag menar…? “Jo du ser”, säger jag, “du plockade fram att jag hade åkt till Härnösand för nästan ett år sedan, och det tycker jag är lite skrämmande.” “Aah, ja men de uppgifterna använder vi bara i…” och så dalar den meningen ut och hon fortsätter, “…Men det är helt frivilligt att vara registrerad. Jag kan ta bort det men om du tappar busskortet så tappar du beloppet på kortet”. “Gör det”, säger jag och hon avregistrerar mitt kort.

Jag har sett att Datainspektionen har redan idag funderingar kring hur länge resebolag ska kunna spara resedata i sina databaser, de Västtrafik anser att 60-90 dagar bör vara länge nog enligt den här artikeln, och att spara det så här länge känns väldigt onödigt och osäkert i mina ögon. Varför har egentligen Din Tur behöva spara den här resan så länge som de gjort? Jag ska skicka en förfrågan både till Din Tur och fråga om varför och en till Datainspektionen så att de åtminstone har Din Tur på sin radar.

Speciellt intressant i det här fallet är just att Din Tur valt att ta bort möjligheten att betala med kontanter på stadsbussarna, så jag måste betala med något slags kort. Så hur jag än gör så kan jag spåras, och om jag vill åka tåg med SJ så är det samma historia där – namn och födelsedatum. Varför behövs allt det här? I SJs fall så köper jag inte att de överhuvudtaget skulle bry sej i att folk köper deras biljetter billigt och säljer dem för ockerpriser.

Jag anser mej inte vara en person som har något att dölja, har så kallat rent mjöl i min påse, men jag anser att företag och myndigheter ska ge blanka fan i vad jag har för mjöl i min påse. Vem vet var den här informationen kommer plockas upp och vad som kommer göras med den, jag vill inte leva i ett Bodströmsamhälle. Vilket är varför jag är emot FRA-lagen och den kommande datalagringsdirektivet, 0,006% effektivare polis genom teknik är inte värt mitt privatliv. Speciellt inte om de pengarna istället skulle kunna spenderas på riktiga poliser av kött och blod som förhoppningsvis har en riktig och tidsenligt utbildning.