Nonobstant le paragraphe 1, chaque État membre veille à ce que chaque Institution financière déclarante, ou chaque intermédiaire ou Opérateur de Plateformes déclarant, selon le cas, qui relève de sa juridiction:
a)informe chaque personne physique concernée que des informations le concernant seront recueillies et transférées conformément à la présente directive;
b)transmette à chaque personne physique concernée toutes les informations auxquelles elle peut avoir accès qui proviennent du responsable du traitement dans un délai suffisant pour lui permettre d’exercer ses droits en matière de protection des données et, en tout état de cause, avant que les informations ne soient communiquées.
Nonobstant le premier alinéa, point b), chaque État membre établit des règles obligeant les Opérateurs de Plateformes déclarants à informer les Vendeurs à déclarer de la Contrepartie déclarée.
5. Les informations traitées conformément à la présente directive ne sont pas conservées plus longtemps que nécessaire aux fins de la présente directive et, en tout état de cause, conformément à la réglementation nationale de chaque responsable du traitement concernant le régime de prescription. 6. Un État membre dans lequel une violation de données s’est produite notifie sans tarder à la Commission la violation de données et toute mesure corrective ultérieure. La Commission informe sans tarder tous les États membres de la violation de données qui lui a été signalée ou dont elle a connaissance, ainsi que de toute mesure corrective prise.Chaque État membre peut suspendre l’échange d’informations avec l’État membre ou les États membres dans lequel ou lesquels la violation s’est produite en en informant par écrit la Commission et l’État membre ou les États membres concernés. Cette suspension prend effet immédiatement.
L’État membre ou les États membres dans lesquels la violation de données s’est produite procèdent à une enquête sur la violation de données, la maîtrisent et y remédient, et, moyennant préavis écrit à la Commission, demandent la suspension de l’accès au CCN aux fins de la présente directive, si la violation de données ne peut être maîtrisée immédiatement et de manière appropriée. À la suite d’une telle demande, la Commission suspend l’accès de cet État membre ou de ces États membres au CCN aux fins de la présente directive.
Lorsque l’État membre dans lequel la violation de données s’est produite notifie qu’il y a été remédié, la Commission donne à nouveau accès au CCN à l’État membre ou aux États membres concernés aux fins de la présente directive. Si un ou plusieurs États membres demandent à la Commission de vérifier avec eux s’il a été remédié avec succès à la violation des données, la Commission donne à nouveau accès au CCN à cet État membre ou à ces États membres aux fins de la présente directive après avoir effectué cette vérification.
Dans le cas d’une violation de données intervenant dans le répertoire central ou sur le CCN aux fins de la présente directive et lorsque les échanges des États membres par l’intermédiaire du CCN sont susceptibles d’être affectés, la Commission informe, sans retard injustifié, les États membres de la violation de données et de toute mesure corrective prise. Ces mesures correctives peuvent comprendre la suspension de l’accès au répertoire central ou au CCN aux fins de la présente directive jusqu’à ce qu’il soit remédié à la violation des données.
7. Les États membres, assistés par la Commission, arrêtent les modalités pratiques nécessaires à la mise en œuvre du présent article, y compris les processus de gestion des violations de données en accord avec les bonnes pratiques reconnues au niveau international et, le cas échéant, un accord conjoint entre les responsables du traitement, un accord entre les sous-traitants et les responsables du traitement, ou des modèles de ces accords.