Eu acho que eles devem ser chowned para www-data: www-data. Isso é um pouco mais seguro, porque se o seu site for comprometido e você tiver um arquivo que pertence a root e tiver as permissões executáveis, seria muito mais fácil executar um comando como root, do que se todas as permissões fossem executadas. arquivos e diretórios eram de propriedade de um usuário não privilegiado.
Enquanto o nginx for executado como www-data, você não deverá ter problemas em ter os arquivos pertencentes ao mesmo usuário