HMRC:s röstigenkännings-ID-tjänst är olaglig och data som samlas in från dess användning måste raderas säger informationskommissionärens kontor
ICO ombads att undersöka skattemyndigheten av Big Brother Watch.
Utredarna tittade på röstautentiseringsprocessen för kundverifiering på några av HMRC:s hjälplinjer, som introducerades i januari 2017.
De drog slutsatsen att HMRC misslyckades med att ge kunderna tillräcklig information om hur deras biometriska data skulle behandlas.
HMRC misslyckades med att ge dem chansen att ge eller vägra samtycke, vilket bröt mot den allmänna dataskyddsförordningen.
Ett meddelande utfärdades till HMRC i april som tvingade HMRC att radera all biometrisk data som finns i systemet, för vilken den inte har uttryckligt samtycke.
Steve Wood, vice kommissionär för ICO, säger:"Vår utredning avslöjade ett betydande brott mot dataskyddslagstiftningen – HMRC verkar ha tagit lite eller ingen hänsyn till det med avseende på sin röst-ID-tjänst.
"Innovativa digitala tjänster hjälper till att göra våra liv enklare men det får inte ske på bekostnad av människors grundläggande rätt till integritet.
"Vi välkomnar HMRC:s snabba åtgärd att börja radera personuppgifter som de erhållit olagligt."
Påverkar den allmänna dataskyddsförordningen (GDPR) ditt småföretag?
Är HMRC på en fiskeexpedition?
Cyberbrottslingar riktar sig till HMRC
GDPR utmanar löneproffs
Farorna med ett GDPR-brott
GDPR-guide för revisorer i praktiken
GDPR och rätten till åtkomst till data
IRIS lanserar GDPR-efterlevnadsverktyg för revisorer