Para realizar o que você deseja, o script PHP precisará ser executado como um usuário diferente do servidor da web. O usuário do script receberia permissões para ler / gravar em uma pasta que o www-data não pode acessar. Aqui está uma pergunta sobre falha do servidor sobre definindo um script PHP para ser executado como um usuário diferente