Informationen gäller bland annat för pendlare som reser mellan Uppsala och Stockholm och betalar med ett elektroniskt kort, så kallade Tim-kort.

– Resekort av den här typen gör det tekniskt möjligt att kartlägga personers resemönster i detalj, säger Göran Gräslund, Datainspektionens generaldirektör i ett uttalande.

SJ medger att resedata har lagrats centralt så länge som sedan år 2000. Nu kräver Datainspektionen att information om resenärernas vanor inte sparas i mer än 90 dagar. Databasen används bland annat för statistik och reklamationer.

– Datainspektionens grundinställning är därför att reseinformation som kan kopplas till identifierbara personer bör sparas så kort som möjlig, säger Göran Gräslund.

SJ lovar nu att den äldsta informationen ska tas bort ur systemen.

– Åtta år är givetvis för länge, säger Ulf Wallin, biträdande presschef på SJ.

Men medan SJ går med på att radera de äldsta delarna av databasen säger sig företaget inte kunna gå med på att 90 dagar är en övre gräns för lagringstiden.

Enligt Ulf Wallin kräver lagen att SJ ska godkänna reklamationer i upp till ett år efter en resa. Loggarna måste därför sparas i 13 månader, med 30 extra dagar för handläggningen, säger han.

– Det här handlar inte om att vi ska kartlägga resenärer. Snarare är det en rättstrygghet för dem.

Ulf Wallin betonar att den kontroversiella databasen bara innehåller information från omkring 5 000 kort, en mindre del av alla som säljs. Att koppla personuppgifter till kortet är frivilligt, men kan hjälpa kunden om kortet tappas bort.

– Självklart vill vi rätta oss efter Datainspektionens beslut. Men vi måste ta hänsyn till andra lagar och vi vill ha in det i deras beslut.

Kommer ni överklaga?

– Vi kommer att svara på det.